企業などにおいて、セキュリティに関する方針や決まりごとをまとめたもの。特にネットワークやコンピューターシステムに関して作成される場合が多い。扱う情報の価値やリスクを評価し、その結果を踏まえて管理者や意思決定者を決め、各部署の責任や運用方法を明確にする。