一般的に、セキュリティポリシーは、基本方針と基準書を指す。しかし、社員がセキュリティポリシーを理解し遵守するためには、業務を遂行する中で行動が伴うよう手順書にまで落とし込まないとなかなか定着しない。広い意味で手順書を含めてセキュリティポリシーと呼ぶ場合もある。
最近、多くのWebサイトで個人情報保護方針や情報セキュリティポリシーを公表している。また、効率化のためグループ企業、関連企業、委託先企業が社内のネットワークに接続することも多くなってきた。接続する際の基準や手順、そして委託業者に遵守してもらう規準や手順も明確にし文書化しておく必要がある。こういった文書は、社内のセキュリティポリシーをベースとし作成する。そして、セキュリティポリシーは企業理念に基づいて策定するべきである。
