Establece normas que minimizan los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad. Está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:
