Polityka bezpieczeństwa technologii informacyjnych (IT) określa zasady i procedury dla wszystkich osób mających dostęp i korzystających z zasobów informatycznych organizacji. Skuteczna Polityka Bezpieczeństwa IT jest modelem kultury organizacji, w której zasady i procedury wynikają z podejścia pracowników do informacji i pracy. Dlatego też, skuteczna polityka bezpieczeństwa IT jest unikalnym dokumentem dla każdej organizacji, tworzonym w oparciu o perspektywę tolerancji na ryzyko, sposób postrzegania i wartościowania informacji oraz wynikającą z tego dostępność tych informacji. Z tego powodu wiele firm uzna, że szablonowa polityka bezpieczeństwa IT jest nieodpowiednia ze względu na brak uwzględnienia tego, w jaki sposób pracownicy organizacji faktycznie wykorzystują i udostępniają informacje między sobą oraz publicznie.
Celem polityki bezpieczeństwa IT jest zachowanie poufności, integralności i dostępności systemów i informacji wykorzystywanych przez członków organizacji. Te trzy zasady tworzą triadę CIA:
- Poufność obejmuje ochronę aktywów przed nieupoważnionymi podmiotami
- Integralność zapewnia, że modyfikacja aktywów jest przeprowadzana w określony i autoryzowany sposób
- Dostępność to stan systemu, w którym autoryzowani użytkownicy mają ciągły dostęp do wspomnianych aktywów
Polityka bezpieczeństwa IT jest żywym dokumentem, który jest stale aktualizowany w celu dostosowania do zmieniających się wymagań biznesowych i informatycznych. Instytucje takie jak Międzynarodowa Organizacja Normalizacyjna (ISO) oraz amerykański Narodowy Instytut Norm i Technologii (NIST) opublikowały standardy i najlepsze praktyki w zakresie tworzenia polityki bezpieczeństwa. Zgodnie z zaleceniami National Research Council (NRC), specyfikacja każdej polityki firmy powinna obejmować:
- 1. Cele
- 2. Zakres
- 3. Cele szczegółowe
- 4. Odpowiedzialność za zgodność i działania podejmowane w przypadku niezgodności.
Obowiązkowe dla każdej polityki bezpieczeństwa IT są również sekcje poświęcone przestrzeganiu przepisów regulujących branżę organizacji. Typowe przykłady to PCI Data Security Standard i Basel Accords na całym świecie lub Dodd-Frank Wall Street Reform, Consumer Protection Act, Health Insurance Portability and Accountability Act i Financial Industry Regulatory Authority w Stanach Zjednoczonych. Wiele z tych podmiotów regulacyjnych wymaga pisemnej polityki bezpieczeństwa IT.
Polityka bezpieczeństwa organizacji będzie odgrywać dużą rolę w jej decyzjach i kierunku działania, ale nie powinna zmieniać jej strategii lub misji. Dlatego ważne jest, aby opracować politykę, która opiera się na istniejących ramach kulturowych i strukturalnych organizacji, aby wspierać ciągłość dobrej wydajności i innowacyjności, a nie jako politykę ogólną, która utrudnia organizacji i jej pracownikom realizację misji i celów.
.