目標1:必要なIT資産管理ポリシー が効果的に実装される
既存ガイドラインおよび今後実装される全てのポリシーについて、
● 従業員が自らの責任を理解する
● これらが、なぜ組織にメリットをもたらすものであるのかを、従業員が理解する
● ポリシーが可視化される
ことが必須である。
何が期待されているのかを全面的に知ることで、
● 従業員は自らの違反行為を最小限にとどめることができる。
● 従業員は、他者のポリシー違反を認識できる。
● 従業員は、ポリシーの違反の報告・対処方法を理解する。
目標2:ポリシーが執行される
ポリシーは、命令系統を通じて執行されなければならないが、その際、
● 組織全体を通じて一律に
● 一貫し目に見える形でコンプライアンス違反に対応し、明確な記録を残す
ことが重要である。
全てのポリシーを執行することで、
● コンプライアンス違反のリスクを低減する。
● コンプライアンス違反事項について、また他の法的状況における組織の立場が強化される。
● 組織も個々の従業員も守られる。
目標3: ポリシーが、定期的にレビューされ更新される
目的があってポリシーが策定されるように、ポリシー更新も、常に、不可避である。良く練られたポリシーが廃棄されることはほとんどないが、ポリシーを修正して組織のニーズに合わせることが時として必要となる。それぞれのポリシー更新は、特定の理由によって実施される。ポリシー更新のニーズとして、以下が挙げられる。すなわち：
● 業界の動向と変化を反映すべきこと
● 技術進歩と法規制改正への対応
● 組織環境の変化への対応
ポリシー更新は、組織の全体的な改善につながると理解されている。それぞれの更新は、関連プロセスの一部の機能に特定の影響をもたらす。IT管理チームにとって、ポリシー更新とは、
● 新しいコンプライアンス要因のより良い理解と、それによるコンプライアンス違反のリスクの更なる緩和
と、ほぼ同意語である。