Elke security policy heeft twee kanten. De ene kant voorkomt de externe dreigingen en beheert de integriteit van het netwerk. De andere kant vermindert interne risico's door het omschrijven van de manier waarop netwerk middelen gebruikt worden. Het aanpakken van externe dreigingen is technisch georienteerd. Voor het verminderen van deze dreigingen zijn er voldoende technologieen beschikbaar, zoals firewalls, anti-virus software, intrusion-detection systemen en e-mail filters. Deze middelen worden meestal door de IT-afdeling geimplementeerd en zijn niet herkenbaar voor de gebruiker. Het juiste gebruik van het interne netwerk is echter een zaak van het management. Het implementeren van een acceptable use policy, die het gedrag van de gebruiker omschrijft, vereist dan ook tact en diplomatie. Om een succesvolle security policy te ontwikkelen beschrijft Adrian Duigan van NetIQ de volgende 10 stappen:

1. Identify your risks

2. Learn from others

3. Make sure the policy conforms to legal requirements

4. Level of security = level of risk

5. Include staff in policy development

6. Train your employees

7. Get it in writing

8. Set clear penalties and enforce them

9. Update your staff

10. Install the tools you need

De stappen worden in dit artikel verder uitgelegd.