Algemene regels waarmee een organisatie beveiligingsrisico’s zo klein mogelijk wil maken. Van tevoren spreekt men af hoe groot de beveiligingsrisico’s mogen zijn.