(1) Pro každý informační systém musí být již v počáteční fázi jeho vývoje zpracována bezpečnostní politika informačního systému. Bezpečnostní politiku informačního systému tvoří soubor norem, pravidel a postupů, který vymezuje způsob, jakým má být zajištěna důvěrnost, integrita a dostupnost utajované informace, dostupnost služeb informačního systému a odpovědnost uživatele, bezpečnostního správce a správce informačního systému za jeho činnost v informačním systému. Pokud to funkce informačního systému vyžaduje, stanoví se rovněž způsob zajištění pravosti informací a nepopiratelnost.

(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému a v provozní bezpečnostní dokumentaci informačního systému.

(3) Při formulaci bezpečnostní politiky informačního systému a posuzování bezpečnostních vlastností komponentů informačního systému lze využít též mezinárodních standardizovaných bezpečnostních specifikací ³).