כמות האמצעים שקיימים היום בשוק לטובת הגנה על נכסי החברה הוא רב ומגוון ויש להתאימו לאופי הארגון ולתקציב שהנהלת החברה מוכנה להעמיד לטובת הנושא. אך לפני שהנהלת הארגון מקצה תקציב רכש ומקבלת החלטות באיזה אמצעים יש להשתמש, ההנהלה חייבת לעבור תהליך קצר של קביעת מדיניות והגדרות.
תחילתו של התהליך בהגדרת מדיניות אבטחת מידע:
מדיניות אבטחת מידע מגדירה דרישות כלליות לנושא ניהול אבטחת מידע בארגון, דרישות כלליות ליישום בקרות אבטחת מידע וכן אופן טיפול בנושאים הדורשים תשומת לב מיוחדת. כמו כן, מדיניות אבטחת מידע עוסקת בנושאים כגון:שימוש במידע ושמירתו, שמירת חיסיון המידע, שימוש בתוכנות ורכיבי תוכנה ועוד.
המשך התהליך הינו בכתיבת נהלי החברה בנושא אבטחת מידע:
נהלי אבטחת מידע מתמקדים בנושאים כגון: ניהול הרשאות עובדים בחברה, אבטחת מדיה נתיקה, סיווג וטיפול במסמכים , אבטחת מחשבים נישאים, הגנה בפני וירוסים, שימוש מאובטח באינטרנט וכיוצא בזה.כל נהלי אבטחת המידע יהיו כפופים למדיניות שהוגדרה בתהליך הקודם.
