هذه المقالة فقط للمتخصصين في تقنية المعلومات، خصوصا المدراء، وأصحاب الخبرة.
من الضروري البدء بعملة عند البدء ببناء شركة ما كتابة السياسات الأمنية في إدارة تقنية المعلومات. وقد يكون من المغري البدء بتطبيق بعض الإجراءات الأمنية أو البحث عن حلول لمشاكل ظاهرة أو ثغرات أمنية قبل البدء بكتابة السياسات الأمنية. إلا أن هذا التطبيق العكسي قد يجر المؤسسة إلى خسائر مادية وأمنية خطيرة. وحسب تجربتي فقد وجدت أن الكثير من الشركات والهيئات تطبق العملية بطريقة عكسية، أي أن البحث عن حلول أمنيه يسبق كتابة السياسات الأمنية لهذه الشركة.
وكقاعدة عامة فإن كتابة السياسات الأمنية يجب أن يكون الخطوة الأولى في عمل إدارة أمن المعلومات في أي شركة. إلا أن هناك استثناءات عن هذه القاعدة، خصوصا إذا كان هناك أنظمة تستدعي الحاجة لتنفذها حتى وإن لم تكن السياسات الأمنية قد تم الانتهاء منها بعد. وذلك