Die Richtlinie für Informationssicherheit gilt in der Regel für alle Mitarbeiter eines Unternehmens, einschließlich der Führungskräfte und des Verwaltungspersonals. Darüber hinaus umfasst sie auch externe Dienstleister, Partner und gegebenenfalls andere Dritte, die Zugang zu den Informationen oder Systemen des Unternehmens haben. Die Bereiche, die abgedeckt werden, können unter anderem IT-Sicherheit, Datenschutz, physische Sicherheit, Notfallmanagement und Compliance umfassen. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.