При розробці політики безпеки інформації, в загальному випадку, першочергово з'ясовуються об'єкти, які потребують захисту та їх функції. Потім оцінюється ступінь зацікавленості потенційним зловмисником до об'єктів, які потребують захисту, ймовірні шляхи та види нападу й збитки, які можуть бути спричинені. Виявляються вразливі для нападу частини об'єкту, в яких є засоби протидії, які наданий момент не забезпечують достатнього захисту.
При разработке политики безопасности информации, в общем случае, в первую очередь выясняются объекты, требующие защиты и их функции. Затем оценивается степень заинтересованности потенциальным злоумышленником к объектам, которые нуждаются в защите, возможные пути и виды нападения и убытки, которые могут быть вызваны. Оказываются уязвимы для нападения части объекта, в которых есть средства противодействия, которые на данный момент не обеспечивают достаточной защиты.
