SóProvas

a) Política (nível estratégico): constituída do presente documento, define as regras de alto nível que representam os princípios básicos que a IMA decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Serve como base para que as normas e os procedimentos sejam criados e detalhados;

b) Normas (nível tático): especificam, no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes da política;

c) Procedimentos (nível operacional): instrumentalizam o disposto nas normas e na política, permitindo a direta aplicação nas atividades da IMA.

http://www.ima.sp.gov.br/politica-de-seguranca-da-informacao

Estaria certa se fosse assim:

Os procedimentos de segurança da informação são componentes OPERACIONAIS da política de segurança da informação.

A norma ABNT NBR ISO/IEC 27001 estabelece que a segurança da informação esteja implementada e operada de acordo com as políticas e procedimentos da organização. Dessa forma, os procedimentos de segurança da informação não são componentes táticos da política de segurança da informação, são operacionais.