Eine dokumentierte Erklärung, die die Kontrollziele und Kontrollen beschreibt, die für das Informationssicherheits-Managementsystem (ISMS) der Organisation relevant und anwendbar sind. Eine Schlüsselkomponente eines ISMS, definiert in ISO/IEC 27001:2005.