Tietotekniikan (IT) tietoturvakäytäntö määrittelee säännöt ja menettelyt, jotka koskevat kaikkia henkilöitä, jotka käyttävät ja käyttävät organisaation IT-varoja ja -resursseja. Tehokas tietoturvapolitiikka on organisaatiokulttuurin malli, jossa säännöt ja menettelyt lähtevät siitä, miten työntekijät suhtautuvat tietoihinsa ja työhönsä. Näin ollen tehokas tietoturvapolitiikka on kullekin organisaatiolle yksilöllinen asiakirja, joka on luotu organisaation työntekijöiden riskinsietokyvyn näkökulmasta, siitä, miten he näkevät ja arvostavat tietojaan, ja siitä, miten he ylläpitävät näiden tietojen saatavuutta. Tästä syystä monissa yrityksissä tietoturvapolitiikka on sopimaton, koska siinä ei oteta huomioon sitä, miten organisaation ihmiset todellisuudessa käyttävät ja jakavat tietoa keskenään ja yleisölle.
Tietoturvapolitiikan tavoitteena on organisaation jäsenten käyttämien järjestelmien ja tietojen luottamuksellisuuden, eheyden ja saatavuuden säilyttäminen. Nämä kolme periaatetta muodostavat CIA-kolmikon:
- Luottamuksellisuus käsittää omaisuuserien suojaamisen luvattomilta tahoilta
- Eheys varmistaa, että omaisuuserien muutokset käsitellään määritellyllä ja luvallisella tavalla
- Saatavuus on järjestelmän tila, jossa luvallisilla käyttäjillä on jatkuva pääsy sanottuihin omaisuuseriin
Tietotekniikkaturvallisuutta koskeva politiikka on elävä dokumentti, jota päivitetään jatkuvasti, jotta se voidaan mukauttaa kehittyviin liiketoiminta- ja tietotekniikkavaatimuksiin. Kansainvälisen standardisoimisjärjestön (ISO) ja Yhdysvaltain kansallisen standardointi- ja teknologiainstituutin (NIST) kaltaiset instituutiot ovat julkaisseet standardeja ja parhaita käytäntöjä tietoturvapolitiikan muodostamista varten. Kuten National Research Council (NRC) on määritellyt, minkä tahansa yrityspolitiikan määrittelyssä olisi käsiteltävä seuraavia asioita:
- 1. Tavoitteet
- 2. Soveltamisala
- 3. Konkreettiset tavoitteet
- 4. Vastuut sääntöjen noudattamisesta ja toimet, joihin ryhdytään, jos niitä ei noudateta.
Pakkona jokaisessa tietoturvapolitiikassa on myös osiot, jotka on omistettu organisaation toimialaa säätelevien säädösten noudattamiselle. Yleisiä esimerkkejä tästä ovat PCI-tietoturvastandardi ja Baselin sopimukset maailmanlaajuisesti tai Dodd-Frank Wall Street -uudistus, kuluttajansuojalaki, sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskeva laki ja Financial Industry Regulatory Authority Yhdysvalloissa. Monet näistä sääntelyelimistä vaativat itseltään kirjallista tietoturvapolitiikkaa.
Organisaation tietoturvapolitiikalla on suuri merkitys sen päätöksissä ja suunnassa, mutta se ei saisi muuttaa sen strategiaa tai tehtävää. Siksi on tärkeää kirjoittaa politiikka, joka perustuu organisaation olemassa olevaan kulttuuriseen ja rakenteelliseen kehykseen hyvän tuottavuuden ja innovoinnin jatkuvuuden tukemiseksi, eikä yleiseksi politiikaksi, joka estää organisaatiota ja sen työntekijöitä saavuttamasta tehtäväänsä ja tavoitteitaan.