Une déclaration documentée décrivant les objectifs de contrôle et les contrôles pertinents et applicables au système de gestion de la sécurité de l'information (ISMS) de l'organisation. Un élément clé d'un SMSI défini dans la norme ISO/IEC 27001:2005.