Многие компании по разным причинам стремятся создать политику информационной безопасности.

При этом наблюдается 3 основных подхода:

1. Писать максимально компактную политику ИБ в которой утверждать основные принципы и намерения руководства создать СУИБ и обеспечить ИБ. Обычно содержание такой политики умещается на 1-3 листах текста. Она лаконична и вписывается в другую документацию по системам менеджмента (например ISO 9000), которая возможно существует в Организации. Этот подход по моему мнению является самым правильным. Например, такая политика была написана мной для Kaztranscom (https://www.kaztranscom.kz/ru/page/show/39 ). Она лаконична и общедоступна.
2. Политики среднего объема (от 5 до 20 страниц). Такие политики обычно раскрывают основные угрозы ИБ и механизмы защиты. Они больше подходят компаниям которые еще пока не сильно разбираются в вопросах информационной безопасности и только начинают строить СУИБ. Они раскрывают основные направления работы на которых должен сосредоточиться отдел/специалист ИБ.
3. Большие политики (более 20 страниц текста). Обычно создаются в государственном секторе или крупном бизнесе. Обычно составлены из уже имеющихся различных инструкций по ИБ иногда повторяют их содержание. Абсолютно бесполезные документы слишком большие и не понятные обычным пользователям. В них обычно содержатся выжимки из имеющихся документов.

Я глубоко против написания документов из пункта 3, т.к. они дублируют контроли из других документов, обычно закрыты и трудны для понимания обычным пользователям.

Пишите лаконичные политики из пункта 1.