To, že má stále více organizací podle nejrůznějších průzkumů stavu informační bezpečnosti bezpečnostní politiku, ještě neznamená, že se zvyšuje bezpečnostní povědomí zaměstnanců těchto organizací.

Bohužel, mnohé organizace vydaly bezpečnostní politiku jen proto, aby splnily požadavek zákona nebo auditora. Tyto politiky, zpravidla vytvořené prostým opsáním doporučení uvedených v ISO/IEC 27002, pak nejsou v praxi příliš dodržovány.