En IT-sikkerhedspolitik identificerer regler og procedurer for alle personer, der har adgang til og bruger en organisations IT-aktiver og -ressourcer. En effektiv IT-sikkerhedspolitik er en model for organisationens kultur, hvor regler og procedurer er drevet af medarbejdernes tilgang til deres information og arbejde. En effektiv IT-sikkerhedspolitik er således et unikt dokument for hver enkelt organisation, der er udviklet ud fra medarbejdernes perspektiver på risikotolerance, hvordan de ser på og værdsætter deres oplysninger og den deraf følgende tilgængelighed, som de opretholder af disse oplysninger. Derfor vil mange virksomheder finde en standard-IT-sikkerhedspolitik uhensigtsmæssig, fordi den ikke tager hensyn til, hvordan organisationens medarbejdere rent faktisk bruger og deler oplysninger indbyrdes og til offentligheden.
Målene med en IT-sikkerhedspolitik er at bevare fortrolighed, integritet og tilgængelighed af systemer og oplysninger, der anvendes af en organisations medlemmer. Disse tre principper udgør CIA-triaden:
- Fortrolighed indebærer beskyttelse af aktiver mod uautoriserede enheder
- Integritet sikrer, at ændringen af aktiver håndteres på en specificeret og autoriseret måde
- Tilgængelighed er en tilstand i systemet, hvor autoriserede brugere har kontinuerlig adgang til de nævnte aktiver
Den it-sikkerhedspolitik er et levende dokument, der løbende opdateres for at tilpasse sig til de skiftende forretnings- og it-krav. Institutioner som International Organization of Standardization (ISO) og U.S. National Institute of Standards and Technology (NIST) har offentliggjort standarder og bedste praksis for udarbejdelse af sikkerhedspolitikker. Som fastsat af National Research Council (NRC) bør specifikationerne for enhver virksomhedspolitik omhandle:
- 1. Målsætninger
- 2. Anvendelsesområde
- 3. Specifikke mål
- 4. Ansvar for overholdelse og foranstaltninger i tilfælde af manglende overholdelse.
Også obligatorisk for enhver it-sikkerhedspolitik er afsnit, der er afsat til overholdelse af de regler, der gælder for organisationens branche. Almindelige eksempler herpå er PCI Data Security Standard og Basel-aftalerne på verdensplan, eller Dodd-Frank Wall Street Reform, Consumer Protection Act, Health Insurance Portability and Accountability Act og Financial Industry Regulatory Authority i USA. Mange af disse reguleringsorganer kræver selv en skriftlig it-sikkerhedspolitik.
En organisations sikkerhedspolitik vil spille en stor rolle for dens beslutninger og retning, men den bør ikke ændre dens strategi eller mission. Derfor er det vigtigt at skrive en politik, der er hentet fra organisationens eksisterende kulturelle og strukturelle rammer for at understøtte kontinuiteten af god produktivitet og innovation, og ikke som en generisk politik, der forhindrer organisationen og dens medarbejdere i at opfylde sin mission og sine mål.