Informacijos saugumo politika yra pagrindinė priemonė kuriant informacijos saugumą įmonėje. Ji apibrėžia visą informacijos saugumo paramą įmonėms, jos strategines ir veiklos gaires ir fokusavimą. Saugumo valdymo standartuose informacijos saugumo politika apibrėžiama kaip privalomas ir pagrindinis įmonių saugumo veiklos atspirties taškas. Nepaisant šio klausimo svarbos, nėra jokios metodinės paramos kuriant informacijos saugumo politiką. Tai reiškia, kad organizacijos pagrindinis verslas ir kiti poreikiai yra ignoruojami. Tada įmonės informacijos saugumas gali sutelkti dėmesį į neteisingus dalykus organizacijos verslo poreikių ir turto požiūriu. Tai sukelia didelių problemų, iš kurių tipiškiausias yra tai, kad organizacijos informacijos saugumas nepalaiko kitos organizacijos strategijos veiklos, bet yra sulėtėjimas. Kita problema, kurią atspindi nepakankama saugumo politika, atsispindi nediferencijuotame saugumo sprendimų įgijime: saugumo sprendimų įsigijimas grindžiamas „kiti turi sprendimą“ arba „tai gali būti reikalinga“, o ne remiantis strategine plėtra ir pradedant nuo optimalios verslo paramos. Įgyvendinant projektą bus sukurta moksliškai išbandyta metodika, skirta konkrečiai organizacijai skirtai saugumo politikai, atitinkančiai kiekvieną objektą, organizaciją ar sistemą, parengti. Metodas yra sukurtas praktikoje įvairiose dalyvaujančių įmonių kontekstuose, bendradarbiaujant su Jyväskylä Informacinių technologijų fakultetu ir Turku ekonomikos mokyklos universitetu. Verslo partneriai, tokie kaip „Digia Finland Oy“, „Ixonos Oyj“, „Net Man Oy“ ir „Relator Oy“, atstovauja įvairioms verslo bendruomenės sritims, įskaitant savivaldybes ir miestus, didelių įmonių kontekstą ir MVĮ kontekstą bei kritines sistemas. Taip bus užtikrinta, kad naujasis metodas, kuris bus kuriamas, bus išplėstas.