La politique de sécurité constitue le référentiel normatif de l'organisation en matière de cybersécurité. Elle décline la stratégie en règles concrètes : gestion des mots de passe, chiffrement, accès distants, BYOD, etc. Elle doit être validée par la direction, communiquée à tous et mise à jour régulièrement. Elle s'accompagne généralement de procédures opérationnelles détaillées et de chartes utilisateurs.