A politica de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não a cumpra.

Segundo CERT.BR (2012), que política de segurança define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros?