Eine Informationssicherheitsrichtlinie ist ein von der obersten Leitung mandatiertes Dokument, das die Informationssicherheitspolitik einer Organisation beschreibt, die Ausrichtung an den Unternehmenszielen, die Einbeziehung von Zielen, die Verpflichtung zur Erfüllung von Sicherheitsanforderungen und das Engagement für kontinuierliche Verbesserung umfasst und als dokumentierte Informationen intern und an relevante Stakeholder kommuniziert wird.