A terceira etapa é escrever o documento de política de segurança do site. Este é um documento formal e detalhado que descreve as regras e diretrizes para a segurança do seu site. Ele deve incluir seções como finalidade, escopo, funções e responsabilidades, padrões e procedimentos, conformidade e monitoramento e resposta e recuperação de incidentes. A seção de objetivo deve explicar a lógica e os benefícios da sua apólice. A seção de escopo deve identificar as entidades e os recursos que estão sujeitos à sua política. As funções e responsabilidades devem descrever os deveres e obrigações de diferentes partes interessadas, como proprietários de sites, administradores, desenvolvedores e usuários. As normas e procedimentos devem especificar as especificações técnicas e operacionais e as instruções para a segurança do seu site, como métodos de criptografia, políticas de senha, agendamentos de backup, etc. A conformidade e o monitoramento devem fornecer métodos e ferramentas para verificar e medir a eficácia e a adesão à sua política, como auditorias, relatórios, registros, etc. E a resposta e a recuperação de incidentes devem detalhar as etapas para lidar com incidentes de segurança, como detecção, contenção, análise, remediação, etc.