Una política de seguridad es un componente crítico de una arquitectura de seguridad y la plataforma necesaria en base a la cual debe desarrollarse un programa de seguridad. Este programa debe abarcar a los procesos de desarrollo o adquisición de software para los Sistemas de Información, y sus requerimientos de seguridad deben alinearse con las políticas de seguridad establecidas. Aún siendo evidente esta necesidad, es escaso el progreso en el desarrollo de frameworks, metodologías y herramientas que permitan especificar las políticas de forma integral, desde el nivel más general hasta el nivel de detalle necesario para su incorporación como requerimientos en el Ciclo de Vida del Desarrollo de Software (SDLC en inglés), o como especificaciones para la adquisición de software de aplicación.