Organisatsioonis tuleb välja töötada IKT turvapoliitika ja soovitav on määratleda peamised eesmärgid infovarade kasutamisel. IKT turvapoliitika peab kaasama infopoliitika ja ettevõtte äripoliitika. Soovitav on defineerida meetodid, kuidas turvariskid lahendatakse erinevatel juhtudel, sh ka riskianalüüs. Tähtis osa IKT turvapoliitikas on iga töötaja vastutusel. IKT turvapoliitika peab katma järgnevad valdkonnad:

    * Peamised eesmärgid ja printsiibid turvalisuse rakendamisel;
    * Vaadata üle ja teha nimekiri ohtudest, nõrkustest, riskidest ja võimalustest;
    * Riskianalüüside strateegia välja töötada;
    * Informatsiooni tundlikkus ja riskid (ülevaade kogu ettevõtte informatsioonist, andmete väärtus);
    * Kõikide varade turvalisus, mis on olulised e-äri toimimiseks.

• Riistvara ja tarkvara turvalisus peab kaasama:

- Kasutaja tuvastamine ja õigsuse kontroll;

- Juurdepääsu tagamine;

- Kustutamised, ründetarkvara (informatsiooni muutmine);

- Arvutite turvalisus (lauaarvutid ja sülearvutid).

• Andmeside turvalisus peab kaasama:

- Võrkude infrastruktuuri kontroll ja tagamine;

- Side krüpteerimine;

- Soovitav on mõningatel juhtudel veebiserveri teenused sisse osta (veebilehe majutus).

• Füüsiline turve peab kaasama:

- Hoone ja teenuste turvalisuse;

- Juurdepääsu arvutitele ja andmekandjatele (andmebaasid, infosüsteemid).

- Ohtude avastamine ja nendest teavitamine reguleerida;

- Seadmete kaitse (vargused).

- Teenuste ja hoolduste reguleerimine.

• Dokumentide ja andmekandjate turvalisus peab kaasama (infokandjad igasuguses formaadis):

- Andmete säilitamine;

- Andmete edastamine;

- Andmete kustutamine.