企業における情報を、何からどのように守るかという、いわば脅威に対する抑止、予防、検知、回復などについての、対策方針、考え方を明文化したもの。英国規格のBS7799から始まり、ほぼそのままISO17799となっている。 通常、セキュリティポリシーの策定を専門家に依頼すると、数百万円から数千万円するが、BS7799に準拠した雛型が販売されており、導入しやすくなっている。