Algunas empresas siguen un proceso ideal para la elaboración de sus políticas de TI. Un proyecto de esta naturaleza comienza con el soporte, sino el mandato directo, de la alta dirección para que la organización establezca unas políticas de TI acordes con las operaciones y riesgos existentes. Esto se da en el contexto de empresas con administraciones maduras, que realizan grandes inversiones en TI y necesitan asegurar el óptimo uso de esos recursos. También se da en Instituciones financieras con marcos regulatorios fuertes, que las obligan a vigilar el riesgo tecnológico tanto como el riesgo operativo y en empresas que han sido adquiridas por otras más grandes que ya están acostumbradas al soporte diligente de las políticas de TI. En estos contextos, las gerencias de Tecnologías de la Información deben de estar atentas para ponerse a la altura de la necesidad y liderar un proceso de implementación de políticas de TI que logre un alto grado de cobertura respecto de las necesidades de la organización.

El siguiente paso es el aprendizaje de las normas y marcos de referencia existentes para el Gobierno de TI. Esto ayuda a identificar de una manera completa todos los procesos que se podrían normar dentro de la gestión de TI. Dado que es imposible el lograr el 100% de cobertura en una primera generación de políticas de TI, la elección de procesos a documentar será beneficiada si se adoptan marcos de referencia que contemplen todos los aspectos del gobierno y la administración de TI, así como en las necesidades de cumplimiento de la organización. Por ejemplo, en una organización en la que el marco regulatorio le exige tener un Plan de Continuidad de Negocios, no seria excusable no tomar en cuenta como referencia la norma BS25999 de Administración de la Continuidad de Negocios o una similar. El no hacerlo seria un error grave, ya que para cumplir el requerimiento regulatorio debe crear políticas de continuidad de negocios, pero sin una guía, se tendría que reinventar lo ya inventado, con el correspondiente riesgo de cometer graves omisiones y gastar más tiempo.

Finalmente, las políticas de TI son escritas y sometidas a un proceso de aprobación. Este proceso pasa por la explicación a la alta dirección del marco de políticas diseñado y de la importancia de cada una dentro del contexto de operaciones de TI de la organización. Es de suma importancia el explicar las inversiones que se realizarán al momento de implementar las políticas, con el objetivo de lograr una aprobación del presupuesto de implementación junto con la aprobación de las políticas. Esto nos lleva al entendimiento común de que la mejora en la gestión de TI no se logrará mágicamente con la aprobación de políticas de TI, pero si es un primer paso, necesario, para lograr un mejor desempeño de la función de TI en el mediano plazo. También es ideal, lograr el entendimiento que en el proceso la organización aprenderá más sobre las operaciones de TI, cuando se les comuniquen las nuevas políticas de TI y luego se capacite al personal de la organización en su aplicación.