Para una eficiente gestión del sistema de seguridad de la información, se estima necesario establecer las políticas internas que entreguen el marco en que el organismo administrador gestionará la seguridad de la información.

En dicho contexto, esta política debiese considerar al menos los siguientes aspectos:

1. Definición de la seguridad de la información, objetivos generales, alcance y la importancia de ésta como un mecanismo que permita compartir y gestionar información de forma segura.
2. Una declaración de la intención de la alta administración, que apoye los objetivos y principios de la seguridad de la información, en concordancia con las metas y estrategias del organismo administrador.
3. Una explicación de los principios, estándares y requisitos de cumplimiento más relevantes para el organismo administrador, tales como, el adecuado otorgamiento de las prestaciones de la Ley N°16.744, cumplimientos normativos de la Seguridad Social, gestión de la continuidad de negocio, consecuencia de una violación de la política de seguridad de la información, entre otros aspectos.
4. Una definición clara respecto de las responsabilidades generales y específicas de la alta gerencia y demás estamentos relevantes dentro del organismo administrador.
5. Considerar un registro de incidentes de seguridad de la información.
6. Referencia de documentos complementarios a la política de seguridad de la información, si corresponde, tales como procedimientos o manuales detallados con reglas o estándares asociados a actividades específicas.

La política de seguridad de la información debiese ser comunicada y difundida a toda la organización, de forma clara y comprensible para el usuario final. Se recomienda considerar, como parte de este proceso, que al momento de la contratación de un colaborador, éste firme que ha tomado conocimiento de dicha política.

La política de seguridad de la información debiese ser revisada y actualizada anualmente, para asegurar que se encuentre en concordancia con las metas y estrategias de los organismos administradores. Este hecho debiese quedar documentado con la correspondiente firma en el control de cambios del referido documento.