Atualmente, no mundo interconectado, a informação digital é um dos principais ativos de Tecnologia da Informação e necessita ser convenientemente protegida. O uso de boas práticas e frameworks de controle tem ganhado cada vez mais espaço no ambiente corporativo, principalmente na TI. As organizações reconhecem cada vez mais que a segurança deve ser gerenciada como uma questão de risco da empresa, e não apenas como um problema operacional de TI. As organizações têm se empenhado em implantar Políticas de Segurança da Informação e Comunicação, no entanto, a construção dessas POSIC nas organizações, nos últimos anos, vem, em sua grande parte, baseando-se na norma NBR ISO/IEC 27002. Em 2010, um consórcio formado por importantes atores internacionais no cenário da segurança da informação propôs 12 princípios relevantes a serem considerados na construção dessas políticas. O presente trabalho de pesquisa discute esses critérios na análise da política de segurança de 10 organizações da administração pública federal direta. O estudo apresentou um modelo de pesquisa para o levantamento e diagnóstico do nível de maturidade das Políticas de Segurança da Informação e Comunicação nesses órgãos. Uma visão cuidadosa dessas políticas à luz dos critérios mostra que diferente de um cenário homogêneo e linear, como esperado inicialmente, o cenário que se apresenta é heterogêneo e não linear, mostrando grande disparidade entre as empresas analisadas. Por fim este trabalho apresenta as melhores práticas para a construção de uma política de segurança da informação e comunicação adequada, otimizando o uso da governança da segurança da informação e tratando-a como um viabilizador da governança corporativa e uma forma de se ganhar uma vantagem estratégica.