O documento discute políticas de segurança da informação, definindo-as como conjuntos de regras e procedimentos sobre segurança que requerem aderência da instituição. Ele explica que políticas de segurança da informação são baseadas nos princípios da TI e fornecem diretrizes formais sobre o que é permitido e as ações a serem tomadas em casos de incidentes. Além disso, o documento discute padrões, guias e procedimentos que apoiam as políticas de segurança.