Die Erstellung einer Informationssicherheitsrichtlinie ist ein strategisches Instrument, zur Herstellung der Informationssicherheit im Unternehmen. Dabei hängt der konkrete Inhalt von der jeweiligen Größe und Struktur des Unternehmens ab. Der Aufbau hingegen ist fast immer gleich: zuerst sollte eine Beschreibung der Struktur der Organisation bzw. des Unternehmens erfolgen. Was genau tut Ihr Unternehmen? Dabei gilt es besonders, die Unternehmensabläufe zu beschreiben. Insbesondere die Prozesse, die für die Informationssicherheit relevant sind sollte gesondert aufgezeigt und erläutert werden. Anschließend gilt es die Sicherheitsziele sowie die Strategie zur Erreichung dieser Ziele zu definieren. Hier sollten konkrete Zuständigkeiten angegeben und Verantwortlichkeiten geklärt werden: wer ist wann für was verantwortlich? Auch der Verweis auf bereits vorhandene IT-Richtlinien für Mitarbeiter oder Datenschutz-Richtlinien für Mitarbeiter ist möglich.