A não necessitam do envolvimento da alta administração, já que são responsabilidade da área de TI.
B devem estar alinhadas com as estratégias de negócio da empresa, padrões e procedimentos já existentes.
C devem ser concentradas exclusivamente em ações proibitivas e punitivas, para garantir a segurança dos recursos de informação e a responsabilização legal daqueles que infringirem as normas e procedimentos de segurança.
D são criadas e implantadas pelo Comitê de Segurança da Informação, constituído na sua totalidade por profissionais das áreas administrativas e de Tecnologia da Informação.
E devem abranger todos os serviços e áreas da organização e ser implantadas de uma única vez para minimizar a possível resistência de alguns setores da empresa.