(1) Pro každý informační systém musí být již v počáteční fázi jeho vývoje zpracována bezpečnostní politika informačního systému. Bezpečnostní politiku informačního systému tvoří soubor norem, pravidel a postupů, který vymezuje způsob, jakým má být zajištěna důvěrnost, integrita a dostupnost utajované informace a odpovědnost uživatele za jeho činnost v informačním systému. Zásady bezpečnostní politiky jsou rozpracovány v projektové a provozní bezpečnostní dokumentaci informačního systému.

(2) Bezpečnostní politika informačního systému musí být zpracována v souladu s právními předpisy a mezinárodními smlouvami, kterými je Česká republika vázána, a s bezpečnostní politikou nadřízeného orgánu, pokud byla zpracována.

(3) Při formulaci bezpečnostní politiky informačního systému a posuzování bezpečnostních vlastností komponentů informačního systému lze využít též mezinárodních standardizovaných bezpečnostních specifikací.¹)