La política de seguridad es un documento de alto nivel que denota el compromiso entre las distintas áreas de una organización (tales como: directivos, gerencia, jefes de departamentos y empleados en general) con la seguridad de la información. Contiene un conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales lo que está y lo que no está permitido en el área de seguridad durante la operación de dicho sistema.
Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta, objetivos de seguridad, visión, misión y procedimientos. Debe estar totalmente accesible de forma que los empleados estén al tanto de su existencia y entiendan su contenido. Puede ser también un documento único o inserto en un manual de seguridad. Se debe designar un propietario que será el responsable de su actualización, así como del cumplimiento y mejora de la misma.