Az informatikai (IT) biztonsági szabályzat meghatározza a szabályokat és eljárásokat a szervezet informatikai eszközeihez és erőforrásaihoz hozzáférő és azokat használó személyek számára. A hatékony IT-biztonsági politika a szervezet kultúrájának modellje, amelyben a szabályokat és eljárásokat az alkalmazottak információhoz és munkájukhoz való hozzáállása határozza meg. Így a hatékony IT-biztonsági politika minden egyes szervezet számára egyedi dokumentum, amelyet az alkalmazottak kockázattűrő képességének, az információik megítélésének és megbecsülésének, valamint az ebből következő, általuk fenntartott információk elérhetőségének szemléletéből alakítanak ki. Emiatt sok vállalat nem találja megfelelőnek az informatikai biztonsági szabályzatot, mivel nem veszi figyelembe, hogy a szervezet munkatársai hogyan használják és osztják meg az információkat egymás között és a nyilvánossággal.
Az informatikai biztonsági szabályzat célja a szervezet tagjai által használt rendszerek és információk bizalmasságának, integritásának és rendelkezésre állásának megőrzése. Ez a három alapelv alkotja a CIA hármasát:
- A bizalmasság magában foglalja az eszközök védelmét az illetéktelen személyektől
- Az integritás biztosítja, hogy az eszközök módosítását meghatározott és engedélyezett módon kezeljék
- A rendelkezésre állás a rendszer olyan állapota, amelyben az engedélyezett felhasználók folyamatosan hozzáférnek az említett eszközökhöz
Az IT biztonsági politika egy élő dokumentum, amelyet folyamatosan frissítenek a fejlődő üzleti és IT követelményekhez való alkalmazkodás érdekében. Olyan intézmények, mint a Nemzetközi Szabványügyi Szervezet (ISO) és az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) szabványokat és legjobb gyakorlatokat tettek közzé a biztonsági politika kialakításához. A Nemzeti Kutatási Tanács (National Research Council, NRC) előírásai szerint bármely vállalati politika specifikációjának ki kell térnie:
- 1. Célok
- 2. Hatály
- 3. Konkrét célok
- 4. A megfelelésért való felelősség és a nem megfelelés esetén teendő intézkedések.
Minden informatikai biztonsági szabályzatnak kötelezően tartalmaznia kell a szervezet iparágára vonatkozó előírások betartásával foglalkozó részeket is. Gyakori példa erre a PCI adatbiztonsági szabvány és a Bázeli Megállapodások világszerte, vagy a Dodd-Frank Wall Street Reform, a fogyasztóvédelmi törvény, az Egészségbiztosítási hordozhatósági és elszámoltathatósági törvény és a Pénzügyi Iparszabályozási Hatóság az Egyesült Államokban. E szabályozó szervezetek közül sokan maguk is írásos IT-biztonsági szabályzatot követelnek meg.
A szervezet biztonsági politikája nagy szerepet játszik a döntésekben és az irányvonalban, de nem változtathatja meg a szervezet stratégiáját vagy küldetését. Ezért fontos, hogy olyan szabályzatot írjunk, amely a szervezet meglévő kulturális és strukturális kereteiből merít a jó termelékenység és az innováció folytonosságának támogatása érdekében, és nem olyan általános politikaként, amely akadályozza a szervezetet és annak munkatársait küldetése és céljai teljesítésében.