Es un conjunto formal de reglas y directrices adoptadas por una organización para garantizar la protección y gestión segura de su información y recursos digitales.

Este documento estratégico establece los principios y expectativas de la empresa en relación a la seguridad de la información, define roles y responsabilidades, y proporciona un marco para implementar y gestionar controles de seguridad.

Las políticas de seguridad están diseñadas para proteger los activos de información de la empresa contra amenazas y minimizar los riesgos de ciberseguridad, y deberían ser revisadas y actualizadas regularmente para adaptarse al entorno cambiante de la seguridad cibernética.