Рисунок D.1 - Иерархия политики
Согласно стандарту ISO/IЕС 27001 требуется, чтобы организации имели политику СМИБ и политику информационной безопасности. Однако это не подразумевает каких-либо конкретных соотношений между этими политиками. Требования к политике СМИБ приведены в пункте 4.2.1 стандарта ISO/IEC 27001. Рекомендации по политике информационной безопасности приведены в пункте 5.1.1 стандарта ISO/IEC 27002. Эти политики могут разрабатываться как равноправные политики: политика СМИБ может подчиняться политике информационной безопасности, или, наоборот, политика информационной безопасности может подчиняться политике СМИБ.
Содержание политики основано на контексте, в котором работает организация. В частности, при разработке любой политики в рамках основ политики нужно учитывать следующее:
1) цели и задачи организации;
2) стратегии, адаптированные для достижения этих целей;
3) структуру и процессы, адаптированные организацией;
4) цели и задачи, связанные с предметом политики;
5) требования связанных политик более высокого уровня.
Этот процесс показан на рисунке D.2.