A fim de possuir eficácia, a política de gerenciamento de riscos de segurança da informação de uma organização tem de ser necessariamente subordinada a uma política de segurança da informação de mais amplo escopo.