１.　セキュリティポリシは、
　　「セキュリティがなぜ必要なのか」、
　　「なにを守るのか」、
　　「どうやって守るのか」
　などといったセキュリティの基本的な考え方を示し、関係者全員の意思統一をすることを目的に作成される。セキュリティポリシに基づいて、セキュリティに関連する業務の方向付けがなされるので、セキュリティポリシには、次の3点が組み込まれる。
　　�@最高経営管理者の意思
　　�A新しいインターネット・セキュリティ技術
　　�B国際的なネットワーク対応の規格標準

3.セキュリティポリシは一般的には、２つの部分からなる。
「なぜセキュリティ対策が必要なのか」を述べるセキュリティ基本方針の部分、
「何を守るのか」を明確にした対策基準（スタンダード）の部分、の２つであり、
さらにその下部に位置するものとして、
これをセキュリティポリシの3要素という。

　　＜セキュリティポリシ＞
　　　　　　　　

　　セキュリティ基本方針　

　　　「Why:なぜセキュリティが必要か」戦略レベル

　　対策基準(スタンダード)

　　　「What:何をどの程度守るのか」管理レベル

　　対策手順（プロシージャ）
　
　　「How:どうやって守るのか」実行レベル

4、セキュリティ基本方針

　Whyにあたる「基本方針」は、情報セキュリティに対する基本的な方向付けを経営トップの考え方として示すものである。それはまた、経営におけるセキュリティ対策の重要性を述べたものであり、セキュリティが脅かされたとき経営にどのような影響があるかを社員に知らせるものである。

　例えば、個人情報を扱う民間企業は、個人情報の漏洩によって顧客ユーザーの信頼を失うことがあってはならない。情報漏洩が発生した場合、業務停止など経営の基本を揺るがす事態になる恐れがある。情報保護については全社員が最大限努力するよう心がける」ということを社員に徹底し、セキュリティ対策を遵守させる必要がある。そしてもし、その対策が守られない場合にはどのような罰則があるかを明確に示すことも必要である。