Podstawą opracowania polityki bezpieczeństwa informacji dla danej organizacji jest zdefiniowanie rozumienia polityki bezpieczeństwa informacji z punktu widzenia priorytetowych interesów tej organizacji.
W tej definicji istotne jest określenie jakie zasoby informacyjne oraz jakie aktywa powinny podlegać ochronie i jakie mają one znaczenie dla organizacji. Innymi bowiem zabezpieczeniami objęte zostaną zasoby, których utrata spowodować może krótkotrwałe zakłócenia w pracy organizacji, a innymi te, których utrata spowoduje utratę ciągłości biznesowej i załamanie się głównych procesów biznesowych lub odpowiedzialność karną.
PBI organizacji powinna zawierać ogólne zasady wytwarzania, przechowywania, przetwarzania i przesyłania informacji w kontekście zapewnienia jej bezpieczeństwa oraz organizację i zasady sprawnego zarządzania tym procesem.
Pierwszą kategorią korzyści płynących z wdrożenia w organizacji polityki bezpieczeństwa informacji jest:
Drugą kategorią korzyści jest podniesienie wiarygodności organizacji w oczach klientów, inwestorów i udziałowców oraz zwiększenie przewagi konkurencyjnej na rynku poprzez kreowanie pozytywnego wizerunku jako firmy dbającej o ochronę praw i interesów partnerów biznesowych i klientów.