Az informatikai rendszerek biztonságának biztosításához nem elegendő a teljes körű, zárt és az elviselhető kockázatok szintjén kialakított védelmi rendszer, hanem a biztonsággal kapcsolatos intézkedéseket egyértelműen, a szervezet első számú vezetője által jóváhagyott dokumentumban - az Informatikai Biztonsági Szabályzatban (IBSz) - kell rögzíteni. Ez alapvető feltétele az intézkedések végrehajthatóságának, ellenőrizhetőségének és szükség esetén a szankcionálhatóságnak.
Az IBSz egy olyan belső szervezeti intézkedés-együttes, amely a szervezeten belül működtetett informatikai rendszerekre vonatkozóan szabályozza a biztonsági intézkedéseket, szervesen illeszkedve a hatályos jogszabályokhoz és a szervezet egyéb működési és ügyrendi előírásaihoz.
A védelmi intézkedések bemutatására legkézenfekvőbb megoldásnak mutatkozik, ha azt egy IBSz tervezet formájában valósítjuk meg, amely tartalmaz egy standard fejezet-struktúrát, a fejezeteken belül pedig útmutatásokat, típus intézkedéseket, amelyek alapján minden szervezet el tudja készíteni a saját konkrét IBSz-ét, amelyben már figyelembe vették a szervezet működési és strukturális sajátosságait és a típus intézkedéseken túlmenően kiegészítették a szervezetre jellemző speciális intézkedésekkel.
Az IBSz tervezet tartalmaz egy általános részt, amely az informatikai rendszerek minden alaptípusára (irodaautomatizálási, adatbázis alapú, nagy megbízhatóságú stb.) vonatkozik és tartalmaz egy rendszer-specifikus részt, amelyben kiválasztott típus rendszerekre specifikusan érvényes intézkedési javaslatokat állítottunk össze.
Az IBSz készítésénél a következő alapelveket javasoljuk betartani: