Sin políticas indicadas desde la dirección los usuarios seguramente no tendrán qué se puede hacer o cómo hacerlo y a quién dirigirse en caso de duda. ¿se pueden hacer fotografías de personas/instalaciones? ¿se puede instalar software para uso particular en computadores o teléfonos corporatívos? ¿puedo publicar noticias de la empresa en la que trabajo en redes sociales? ¿qué contraseñas debo aplicar en los sistemas? ... son sólo algunos ejemplos que resultarán en distintos corportamientos del personal interno y externo según su propio criterio.

Los responsables de diferentes áreas funcionales de negocio y administradores de sistemas de tratamiento de la información o tendrán referencias claras para poder dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del negocio, las leyes y las regulaciones aplicables.

Una falta de establecimiento e implantación de políticas permite la materialización de potenciales amenazas, entre otras posibles, como:

- Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,...) por falta de referencias  en la comprobación/observancia en estos activos y/o de comunicación de anomalías

- Pérdida de servicios esenciales (energía eléctrica, telecomunicaciones, aire acondicionado/agua, ...) por falta de referencias en la comprobación/observancia en estos activos y/o de comunicación de anomalías

- Afectaciones por radiación (electromagnéticas, térmicas, ...) por falta de referencias en la comprobación/observancia en activos potencialmente afectados y/o de comunicación de anomalías

- Compromiso de información (intercepción, espionaje en remoto, espionaje en proximidad, robo de equipos o documentos, recuperación desde medios reciclados o deshechados, divulgación, datos de fuentes no fiables, manipulación de hardware, manipulación de software, detección de posición, ...) por falta de entendimiento común de las acciones de protección aplicables

- Fallos técnicos (Falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...) por falta de referencias en la comprobación/observancia en estos activos y/o de comunicación de anomalías

- Acciones no autorizadas (Uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...) por falta de controles y mecanimos de gestión de usuarios e identidades

- Compromiso de las funciones (Error en el uso, abuso de privilegios, falsificación de privilegios, denegación de acciones, exposición de la disponibilidad del personal, ...) 

5.1.1 Políticas para la seguridad de la información: Se debería definir un conjunto de políticas para la seguridad de la información, aprobado por la dirección, publicado y comunicado a los empleados así como a todas las partes externas relevantes.

5.1.2 Revisión de las políticas para la seguridad de la información: Las políticas para la seguridad de la información se deberían planificar y revisar con regularidad o si ocurren cambios significativos para garantizar su idoneidad, adecuación y efectividad.

Cobertura de las políticas (es decir, porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito, aprobado y publicado políticas y sus normas, procedimientos y directrices asociadas.

Grado de despliegue y adopción de las políticas en la organización (medido por auditoría, gerencia o auto-evaluación).

GESCONSULTOR: Plataforma no gratuita que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. El portal web aporta información de libre disposición sobre SGSI, Esquema Nacional de Seguridad y otros marcos y políticas relevantes y cómo deben ser tratados.

Series CCN: Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.

DIRECTION CENTRALE DE LA SÉCURITÉ DES SI: Publicaciones de ayuda en la redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.

DMOZ: Proyecto mantenido hasta 2017 que mantiene los contenidos disponibles con políticas de seguridad en diversas áreas

INFOSECWRITERS: Documento de libre descarga (inglés) que analiza las claves para la creación con éxito de una política de seguridad para Pequeñas y Medianas Empresas.

ISACA: Muchas de las directrices de ISACA para auditores de sistemas de información son útiles también como apoyo para redactar políticas de seguridad.

Guías NIST: Guías de la serie 800 sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.

NOTICEBORED: Plantilla no gratuita y manual de políticas de seguridad de la información basado en ISO 27002.

Plantillas SANS: Conjunto de plantillas de políticas de seguridad del SANS Institute (inglés)

Política Senado España: Normativa de uso de sistemas de información del Senado español como ejemplo de un despliegue de política.