Die Informationsicherheitsleitlinie bildet die höchste Ebene aller Security Policies. Eine Leitlinie beschreibt gemäss ISO/IEC 27000 die vom Top Management verbindlich dargelegten Absichten und Ausrichtungen der Organisation. Die Informationssicherheitsleitlinie muss (gemäss ISO/IEC 27001) dem Zweck der Organisation angemessen sein, und entweder die Sicherheitsziele selbst oder einen Rahmen für die Festlegung dieser Ziele aufführen. Ausserdem muss sie eine Verpflichtung zur kontinuierlichen Verbesserung des ISMS (Information Security Management System) beinhalten. Gemäss den Best Practices von ISO/IEC 27002 sollte die Informationssicherheitsleitlinie zudem Informationssicherheit definieren, Prinzipien für Tätigkeiten rund um die Informationssicherheit beschreiben und Aussagen treffen in Bezug auf die Zuweisung von Verantwortlichkeiten sowie in Bezug auf den Umgang mit Abweichungen und Ausnahmen.