Een informatiebeveiligingsbeleid is het overkoepelende governancedocument dat de strategische aanpak van een organisatie voor het beschermen van haar informatie-activa definieert. Het stelt de beveiligingsdoelstellingen, reikwijdte, principes, rollen en verantwoordelijkheden vast en biedt het kader waarbinnen alle andere beveiligingsbeleidsdocumenten, procedures en standaarden worden ontwikkeld. Dit document wordt doorgaans goedgekeurd door het senior management en gecommuniceerd aan alle medewerkers en relevante externe partijen.
Het hebben van een goed gedefinieerd informatiebeveiligingsbeleid is een verplichte vereiste onder ISO 27001 (Clausule 5.2), SOC 2 en vrijwel elk ander compliance-framework. Het dient als het fundament van het gehele informatiebeveiligingsmanagementsysteem (ISMS), stuurt besluitvorming aan, stelt verwachtingen voor medewerkersgedrag en toont aan auditors, klanten en toezichthouders aan dat de organisatie een gestructureerde, top-down benadering van beveiligingsgovernance hanteert.