Como ya se ha hablado antes, las políticas, procedimientos, guías y cualquier otro documento que se redacte es un control administrativo. La existencia de los controles administrativos otorgan la jurisdicción correcta para poder hacer acciones preventivas o correctivas en un marco de legalidad.

Políticas

Las políticas son los declaraciones que representan la posición de la organización de acuerdo a los controles establecidos. Las políticas pretenden tener una vigencia de largo plazo y guían la creación de documentos más específicos para situaciones determinadas. Las validez y reputación de unas políticas se basa en la alineación a estándares, procedimientos y guías. Las políticas generalmente son pocas en números, tienen que estar alineadas a la misión, visión y objetivos de negocio y deben ser publicadas con la autorización de la dirección. Las políticas por naturaleza son de carácter obligatorio y la imposibilidad de poder cumplirlas o generar excepciones debe ser autorizada por la dirección.

Estándar

Un estándar por definición es una regla que especifica un curso determinado de acciones o respuestas a una situación dada. Los estándares pueden servir como especificaciones para la implantación de las políticas.

Lineamientos básicos

Los lineamientos básicos (baseline) son reglas específicas a plataformas determinadas que especifica lineamientos aceptados por la industria. Estos lineamientos especifican las mínimas características o niveles de seguridad que se deben manejar.

Procedimiento

Un procedimiento define cómo se debe implementar y seguir las políticas, estándares, lineamientos básicos o guías en situaciones determinadas. Estos documentos son pasos que deben ser tomados para implantar sistemas o procesos. Los procedimientos están en la parte operativa y apoyan las políticas, estándares, lineamientos básicos y guías mientras que especifican detalles técnicos o de procedimiento dentro de un ámbito local.

Guías

Una guía es una declaración general usada para recomendar y sugerir un escenario aproximado en la implantación de políticas, estándares y lineamientos mínimos. Una guía es de carácter opcional; su propósito es ayudar únicamente.

Políticas de Seguridad

Una política de seguridad es un estatuto general producido por la dirección (o un comité) que dicta la posición en materia de seguridad de la organización. El alcance de una política puede variar. Dependiendo del aspecto que se requiera gobernar, las políticas pueden especificar ámbitos organizacionales, de situaciones especificas o nombrado sistemas muy particulares.
Si una compañía permite la desviación en el cumplimiento de una política esto implica una aceptación del riesgo y por ende se debe documentar la razón de las circunstancias. Las políticas otorgan la autoridad e identifican roles, proveen arquitectura y responsabilidades.

Políticas de alcance organizacional

Es recomendable que una política que tenga alcance en toda la organización haga referencias a leyes, regulaciones y obligaciones. La dirección establece como el programa de seguridad deberá ser implantado, se establecerá las metas del programa, asignación de responsables y plan estratégico – táctico. En esta política se especifica la cantidad de riesgo que la compañía está dispuesta a tolerar.

Políticas especificas a situaciones

Estas políticas indicar situaciones de seguridad que la administración debe identificar y explicar a detalle. La explicación que esta política da debe ofrecer argumentos suficientes para que todos los empleados realicen las acciones necesarias para cumplirlas. Las organizaciones pueden elegir tener políticas del uso del correo electrónico (lo que los usuarios pueden y no pueden hacer con el servicio). Por ejemplo, una política de correo electrónico puede establecer que la dirección tiene el derecho de auditar y leer en cualquier momento cualquier mensaje mientras residan en el servidor pero no en los equipos finales. También puede establecer que en el uso del correo electrónico no se puede transmitir información clasificada como confidencial (o alguna clasificación superior).
Estas políticas requieren de un método para que la dirección sepa que los usuarios las entienden y aceptan. Diferentes métodos pueden ser usados: firmar una hoja con firma manuscrita, apretar "Sí" sobre un cuadro de diálogo que se despliegue antes del acceso al correo, por nombrar algunas. Este tipo de políticas establecen el alcance de los departamentos dueños de los servicios. Por ejemplo, establece qué puede hacer el departamento de TI sobre los usuarios, establece lineamientos y criterios necesarios.

Políticas específicas a sistemas

Las políticas que se enfocan a sistemas específicos especifican las decisiones que la dirección o administración toman sobre determinados equipos finales, redes, aplicaciones y datos. Este tipo de políticas pueden tener detalles tan puntuales y técnicos como la lista de programas autorizados para los usuarios finales, los procedimientos de instalación de aplicaciones, requerimientos de protección de las bases de datos utilizadas, especificaciones sobre las opciones de seguridad de los protectores de pantallas, firewalls locales y de perímetro, sistemas de detección de intrusos y aplicaciones de uso específico.