法律との相違点

　国家による画一的な法規制は強力で、正しく適用されれば防犯や弱者保護に置いて有効であるが、往々にして個々の企業や個人の状況というのはそれぞれにより異なる。それゆえに一元的に保護・制限できる範囲には限りがある（しかも現行法は"正しく適用"されているとは言いがたい）。ゆえに、当事者自身がそれぞれの状況を勘案して策定するセキュリティポリシーの存在が重要となる。
　当然、法と違い公的な制約は無いが、組織が責任を持って策定と適用を行えば、法律よりずっとそれぞれのおかれた状況に適合している分効果は大きい。

ポリシーの改変が必要となる状況

　ポリシーが策定された時点での状況に適合したモノである以上、その当時から状況が変化したら、それがポリシー改定の時期である。
　具体的には　組織改変があった、業務手続に変更が加わった、新たなソフトウェアを導入した、新規サービスを開始した　などがそれに当てはまる。
　また、組織内の状況には変化が無くとも、ある一定の期間が経過したら改めてポリシーを見直してみることも重要である。

効果的かつ確実な改定と活用のために

　単に外部からの監視で改定を行うだけでなく、ポリシー自体の中でも改定について言及するとさらに効果的である。
　具体的な例を挙げれば、文書に有効期限を定める、見直し期限を定める、見直しを行う条件となる事柄（トリガー）を同時に定めておく、などがそれである。こういった自己言及を行えばポリシーを正しく適用するだけでも状況に合わせた改定に取り組むことができ、つねに状況に適合した内容に保てる。

マネジメントシステムの形態

　さまざまな形態が考えられるが、自社にあったシステムを自社で独自に構築するのが最も理想的である。だが当然それには相応のコスト・時間・労力を要するため、ベースラインアプローチも主要な選択肢となる。
　一般的に使われる雛形としては　ISO17799、BS7799、ISMS認証評価基準などがある。

マネジメントシステムの規格〜ベストプラクティス〜

　システムの雛形作成はまず1999年、BS7799-1が英国で策定された。これはマネジメントシステムの理想形の一つ（ベストプラクティス）を提示し、各組織が自身のそれと比較して検討することを目的として策定された。
　その後このベストプラクティスはISOで正規採用されてISO/IEC17799として国際標準となった。さらに現在では日本語化されたJISX5080が提案されている。

認証基準

　ベストプラクティスの着想から発展して、第三者機関の評価ガイドラインとしてBS7799-2が策定された。ここで「第三者機関による評価」とあるように、このBS7799-2に適合したマネジメントシステムならば第三者機関からの認証が受けられ、外部からも明確にその品質を認識できるようになる。（丁度、ISO9000やISO14000のようなイメージ）
　国内向けにはJSMS認証基準として翻案され、JIPDECにより管理されている。このJIPDECは翻案だけでなく認証機関の管理なども請け負う。
　BS7799-2は2002年に大改正が行われ、JSMS認証基準も追随してVer2.0となった。
　ちなみにISOによる国際標準基準はまだ存在していない。
こういった評価ガイドライン群を認証基準と総称する。

情報セキュリティ基本方針

　経営層レベルが策定する会社としての取り組み指針。大局的なビジョンを示す。
　対外的なアピールを主に担当し、冗長性よりも明確さが重要。
　比較的長期（5年程度）のスパンで見直されることが望ましい。

情報セキュリティ対策基準

　基本方針を現実レベルで書き下したもの。
　会社全体で統一せず各部の状況に合わせて部署ごとに作成する場合も多い。
　具体的な記述を多用し、より実務レベルでの適合性を高める。
　業務自体の変更などに対応させて改変を行う。

基本方針と対策基準を合わせてセキュリティポリシーと呼称する場合もある。

情報セキュリティ対策実施手順

　各部門に於ける担当者レベルの社員が実際に踏む手続きの手順を示す。
　スキルの無い社員でも具体的な手順がわかるようにマニュアル的な具体性・詳細さが要求される。セキュリティプロシージャと呼ばれる事もある。
　実質的にはマニュアル文書であるためその分量は大きくなり、内容も各部署ごと大きく異なる場合が多い。技術情報の進展にあわせて頻繁な見直しをする必要がある。