Bezpečnostní politika informačních technologií (IT) určuje pravidla a postupy pro všechny osoby, které přistupují k prostředkům a zdrojům IT organizace a používají je. Efektivní Politika bezpečnosti IT je modelem kultury organizace, v níž pravidla a postupy vycházejí z přístupu jejích zaměstnanců k informacím a práci. Účinná politika bezpečnosti IT je tedy pro každou organizaci jedinečným dokumentem, který je kultivován na základě pohledu jejích zaměstnanců na toleranci k riziku, na to, jak vnímají a oceňují své informace, a na výslednou dostupnost, kterou u těchto informací udržují. Z tohoto důvodu je pro mnoho společností šablonovitá politika bezpečnosti IT nevhodná, protože nezohledňuje, jak lidé v organizaci skutečně používají a sdílejí informace mezi sebou a s veřejností.
Cílem politiky bezpečnosti IT je zachování důvěrnosti, integrity a dostupnosti systémů a informací používaných členy organizace. Tyto tři zásady tvoří triádu CIA:
- Důvěrnost zahrnuje ochranu aktiv před neoprávněnými subjekty
- Integrita zajišťuje, aby se s modifikací aktiv nakládalo stanoveným a autorizovaným způsobem
- Dostupnost je stav systému, ve kterém mají oprávnění uživatelé nepřetržitý přístup k uvedeným aktivům
Zásady bezpečnosti IT jsou živým dokumentem, který je neustále aktualizován, aby se přizpůsoboval vyvíjejícím se obchodním a IT požadavkům. Instituce, jako je Mezinárodní organizace pro normalizaci (ISO) a americký Národní institut pro normy a technologie (NIST), zveřejnily normy a osvědčené postupy pro tvorbu bezpečnostní politiky. Jak stanovila Národní rada pro výzkum (NRC), specifikace každé podnikové politiky by se měla zabývat:
- 1. Cíle
- 2. Oblast působnosti
- 3. Konkrétní cíle
- 4. Odpovědnost za dodržování a opatření, která budou přijata v případě nedodržení.
Povinnou součástí každé bezpečnostní politiky IT jsou také části věnované dodržování předpisů, kterými se řídí odvětví organizace. Mezi běžné příklady patří standard zabezpečení dat PCI a Basilejské dohody ve světě nebo Dodd-Frankova reforma Wall Street, zákon o ochraně spotřebitele, zákon o přenositelnosti a odpovědnosti zdravotního pojištění a regulační orgán finančního průmyslu ve Spojených státech. Mnohé z těchto regulačních subjektů samy vyžadují písemnou bezpečnostní politiku IT.
Bezpečnostní politika organizace bude hrát velkou roli v jejích rozhodnutích a směřování, ale neměla by měnit její strategii nebo poslání. Proto je důležité sepsat politiku, která vychází ze stávajícího kulturního a strukturálního rámce organizace, aby podporovala kontinuitu dobré produktivity a inovací, a ne jako obecnou politiku, která organizaci a jejím lidem brání v plnění jejího poslání a cílů.