Een Information Technology (IT) Security Policy identificeert de regels en procedures voor alle personen die toegang hebben tot en gebruik maken van de IT assets en resources van een organisatie. Een effectief IT-beveiligingsbeleid is een model van de cultuur van de organisatie, waarin regels en procedures worden gestuurd vanuit de benadering van de medewerkers van hun informatie en werk. Een effectief IT-beveiligingsbeleid is dus een uniek document voor elke organisatie, gecultiveerd vanuit de perspectieven van de mensen op risicotolerantie, hoe zij hun informatie zien en waarderen, en de daaruit voortvloeiende beschikbaarheid die zij van die informatie behouden. Daarom zullen veel bedrijven een standaard IT-beveiligingsbeleid ongeschikt vinden, omdat het geen rekening houdt met de manier waarop de mensen van de organisatie informatie daadwerkelijk gebruiken en delen, zowel onderling als met het publiek.
De doelstellingen van een IT-beveiligingsbeleid zijn het behoud van vertrouwelijkheid, integriteit en beschikbaarheid van systemen en informatie die door de leden van een organisatie worden gebruikt. Deze drie principes vormen de CIA-triade:
- Vertrouwelijkheid betreft de bescherming van bedrijfsmiddelen tegen onbevoegde entiteiten
- Integriteit zorgt ervoor dat de wijziging van bedrijfsmiddelen op een gespecificeerde en geautoriseerde manier wordt afgehandeld
- Beschikbaarheid is een toestand van het systeem waarin geautoriseerde gebruikers continu toegang hebben tot de genoemde bedrijfsmiddelen
Het IT-beveiligingsbeleid is een levend document dat voortdurend wordt bijgewerkt om het aan te passen aan veranderende bedrijfs- en IT-eisen. Instellingen zoals de International Organization of Standardization (ISO) en het Amerikaanse National Institute of Standards and Technology (NIST) hebben normen en beste praktijken voor de vorming van beveiligingsbeleid gepubliceerd. Zoals bepaald door de National Research Council (NRC), moeten de specificaties van elk bedrijfsbeleid het volgende omvatten:
- 1. Doelstellingen
- 2. Toepassingsgebied
- 3. Specifieke doelen
- 4. Verantwoordelijkheden voor naleving en te nemen maatregelen in geval van niet-naleving.
Ook verplicht voor elk IT-beveiligingsbeleid zijn secties gewijd aan de naleving van regelgeving die de industrie van de organisatie regelt. Bekende voorbeelden hiervan zijn de PCI Data Security Standard en de Bazel-akkoorden wereldwijd, of de Dodd-Frank Wall Street Reform, de Consumer Protection Act, de Health Insurance Portability and Accountability Act, en de Financial Industry Regulatory Authority in de Verenigde Staten. Veel van deze regelgevende instanties vereisen zelf een schriftelijk IT-beveiligingsbeleid.
Het beveiligingsbeleid van een organisatie zal een grote rol spelen in haar beslissingen en richting, maar het mag haar strategie of missie niet veranderen. Daarom is het belangrijk om een beleid te schrijven dat is ontleend aan het bestaande culturele en structurele kader van de organisatie om de continuïteit van een goede productiviteit en innovatie te ondersteunen, en niet als een generiek beleid dat de organisatie en haar mensen belemmert om haar missie en doelen te bereiken.