Існує велика кількість типів політик і процедур, які визначають функціонування системи безпеки в організації. Три розділи кожної політики є загальноприйнятими.
Ціль. Кожна політика та процедура мають чітко визначену певну мету, яка ясно описує, чому створені та або інша політика чи процедура. І яку вигоду від цього сподівається одержати організація.
Область. Кожна політика та процедура мають розділ, що описує їх сферу застосування. Наприклад, політика безпеки застосовується до всіх комп’ютерних і мережевих систем. Інформаційна політика застосовується до всіх службовців.
Відповідальність. У розділі про відповідальність визначаються особи, відповідальні за дотримання політик або процедур. Ці службовці повинні бути належним чином підготовлені й знайти всі вимоги політики.