A ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.
B ser estabelecida apriorie não deve sofrer modificações, já que dela dependem os controles que asseguram a integridade e confidencialidade dos ativos da organização.
C ser sólida o suficiente para não ter que ser criticada na presença de mudanças no ambiente organizacional, nas circunstâncias do negócio ou no ambiente técnico.
D gerar um documento que será mantido com a classificação mais alta possível de confidencialidade, disponível apenas aos gestores, já que estabelece critérios de natureza crítica para a organização e que não devem ser amplamente divulgados sob pena de comprometer a segurança como um todo.
E isentar-se de estabelecer responsabilidades específicas de gestão da segurança da informação, já que as estruturas organizacionais podem ser modificadas, e essas responsabilidades teriam que ser modificadas também.