Eine IT-Sicherheitsrichtlinie legt die Regeln und Verfahren für alle Personen fest, die auf die IT-Bestände und -Ressourcen eines Unternehmens zugreifen und diese nutzen. Eine wirksame IT-Sicherheitspolitik ist ein Modell der Organisationskultur, in der die Regeln und Verfahren von der Einstellung der Mitarbeiter zu ihren Informationen und ihrer Arbeit bestimmt werden. Daher ist eine wirksame IT-Sicherheitspolitik ein einzigartiges Dokument für jede Organisation, das aus der Perspektive der Risikotoleranz der Mitarbeiter, der Art und Weise, wie sie ihre Informationen sehen und bewerten, und der daraus resultierenden Verfügbarkeit dieser Informationen entwickelt wird. Aus diesem Grund halten viele Unternehmen eine Standard-IT-Sicherheitspolitik für ungeeignet, da sie nicht berücksichtigt, wie die Mitarbeiter des Unternehmens Informationen tatsächlich nutzen und untereinander sowie mit der Öffentlichkeit austauschen.
Die Ziele einer IT-Sicherheitspolitik sind die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Informationen, die von den Mitgliedern eines Unternehmens genutzt werden. Diese drei Prinzipien bilden den CIA-Dreiklang:
- Vertraulichkeit beinhaltet den Schutz von Werten vor unbefugten Stellen
- Integrität stellt sicher, dass die Änderung von Werten in einer festgelegten und autorisierten Weise gehandhabt wird
- Verfügbarkeit ist ein Zustand des Systems, in dem autorisierte Benutzer ununterbrochenen Zugang zu den Werten haben
Die IT-Sicherheitspolitik ist ein lebendiges Dokument, das ständig aktualisiert wird, um sich an die sich entwickelnden Geschäfts- und IT-Anforderungen anzupassen. Institutionen wie die International Organization of Standardization (ISO) und das U.S. National Institute of Standards and Technology (NIST) haben Standards und Best Practices für die Erstellung von Sicherheitsrichtlinien veröffentlicht. Wie vom National Research Council (NRC) festgelegt, sollten die Spezifikationen einer jeden Unternehmensrichtlinie folgende Punkte behandeln:
- 1. Ziele
- 2. Geltungsbereich
- 3. Spezifische Ziele
- 4. Verantwortlichkeiten für die Einhaltung und Maßnahmen bei Nichteinhaltung
Ebenfalls obligatorisch für jede IT-Sicherheitspolitik sind Abschnitte, die sich mit der Einhaltung von Vorschriften befassen, die für die Branche des Unternehmens gelten. Gängige Beispiele hierfür sind der PCI-Datensicherheitsstandard und die Basler Vereinbarungen weltweit oder die Dodd-Frank Wall Street Reform, der Consumer Protection Act, der Health Insurance Portability and Accountability Act und die Financial Industry Regulatory Authority in den Vereinigten Staaten. Viele dieser Aufsichtsbehörden verlangen selbst schriftliche IT-Sicherheitsrichtlinien.
Die Sicherheitsrichtlinien einer Organisation spielen eine große Rolle bei ihren Entscheidungen und ihrer Ausrichtung, sie sollten jedoch nicht ihre Strategie oder ihren Auftrag ändern. Daher ist es wichtig, eine Richtlinie zu verfassen, die aus dem bestehenden kulturellen und strukturellen Rahmen der Organisation abgeleitet ist, um die Kontinuität einer guten Produktivität und Innovation zu unterstützen, und nicht als allgemeine Richtlinie, die die Organisation und ihre Mitarbeiter daran hindert, ihren Auftrag und ihre Ziele zu erfüllen.