Alle Prozesse und Standards, die bei der Verwendung von IDV im Unternehmen von Bedeutung sind, müssen im Detail in einer IDV-Richtlinie geregelt werden. Insbesondere müssen die Prozesse zur Identifizierung, Inventarisierung, Berechtigungsvergabe, Freigabe, Schutzbedarfsfeststellung und zum Rezertifizieren im Kontext von IDV definiert werden. Dabei müssen die Prozesse nachweislich geeignet sein, die im Unternehmen im Einsatz befindlichen IDV-Anwendungen vollständig zu identifizieren und zu erfassen. Alle IDV-Anwendungen müssen dann entsprechend ihrem Schutzbedarf einer Risikoklasse zugeordnet werden. Dies sollte analog und konsistent zu den im Unternehmen bereits etablierten Verfahren des Informationsrisikomanagements erfolgen.
Um IDV-Anwendungen entsprechend den ermittelten Risikoklassen angemessen zu schützen, müssen noch geeignete Sicherheitssollmaßnahmen definiert werden. Hier muss darauf geachtet werden, dass definierte Sicherheitsanforderungen auch mit den im Unternehmen verwendeten IDV-Technologien realisierbar sind. So ist der einfache Passwortschutz einer Excel-Datei in der Regel keine ausreichende Zugriffskontrolle für eine hoch geschäftskritische IDV-Anwendung, wenn die Nutzung mittels Passwortes nicht eindeutig einer handelnden Person zugeordnet werden kann. Da der Schutzbedarf kritischer Arbeitsabläufe oft die technischen Schutzmöglichkeiten übersteigt, sollte in der IDV-Richtlinie definiert sein, welche Technologien für welche IDV-Risikoklassen genutzt werden dürfen.
In der IDV-Richtlinie müssen Vorgaben für Anwendungsentwicklung wie Programmierrichtlinien, Coding-Standards, Dokumentationsrichtlinien, Versionskontrolle, Richtlinien für die Anforderungsermittlung sowie Konzepte für Test und Abnahme festgeschrieben werden. Grundsätzlich sollte sich bei der Definition der Vorgaben für IDV an den analogen Richtlinien und Prozessen orientiert werden, die für die Anwendungsentwicklung durch die zentrale Unternehmens-IT gemäß eines standardisierten Software Development Life Cycle gelten. Es muss aber beachtet werden, dass IDV-Technologien wie Excel nur bedingt über den Funktionsumfang und die Security-Features vollwertiger Programmierplattformen wie z.B. Java verfügen. Hier müssen die Programmierrichtlinien und definierte Sicherheitsmaßnahmen auf die im Unternehmen zulässigen IDV- Technologien zugeschnitten sein.
Natürlich müssen alle in der IDV-Richtlinie definierten Prozesse und Standards auch angemessen umgesetzt werden und es sollte daher bei der Erstellung der Richtlinie frühzeitig berücksichtigt werden, ob ausreichende Ressourcen, Kapazitäten und geeignete Technologien dafür zur Verfügung stehen.