For å samsvare med ISO 27001 er en policy for informasjonssikkerhet og temaspesifikke policyer et krav.
Innvolvering fra toppledelsen i utformingen av informasjonssikkerhetspolicyen er viktig, det er de som setter premissene for hvilket nivå av sikkerhet selskapet skal legge seg på, og det er de som er ansvarlig for å sette av nødvendige ressurser for å etterleve policyen.
Videre er det også ledelsens ansvar å sørge for at policyen kommuniseres til relevante interessenter både eksternt og internt.
Ved å etablere de rette tiltakene og fokusere på bevisstgjøring av ansatte vil man etablere god sikkerhetskultur, så enkelt og så vanskelig.
De temaspesifikke policyene etablerer man etter behov, dette vil til en viss grad variere fra selskap til selskap alt ettersom aktiviteten til virksomheten.
Typiske policyer kan være:
- Sluttbrukerenheter
- Priviligerte tilgangsrettigheter
- Innformasjonssikkerhetshendelser
De tema spesifikke policyene skal være med å tydeliggjøre den overordnede informasjonssikkerhetspolicyen der selskapet føler de trenger mer utfyllende og detaljerte beskrivelse av et bestemt område.