A conter o registro dos incidentes de segurança da organização.
B revelar informações sensíveis da organização.
C ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.
D conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.
E apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos.