Este documento destaca la importancia de implementar políticas de seguridad de la información formales en las organizaciones. Explica que las políticas deben definir los activos de información críticos, las amenazas y vulnerabilidades potenciales, y establecer responsabilidades claras. Asimismo, señala que las políticas deben ser complementadas con procedimientos y estándares específicos, y que requieren del compromiso de toda la organización para ser efectivas.