En IT-säkerhetspolicy identifierar regler och förfaranden för alla individer som får tillgång till och använder en organisations IT-tillgångar och IT-resurser. En effektiv IT-säkerhetspolicy är en modell för organisationens kultur, där regler och förfaranden styrs av de anställdas förhållningssätt till sin information och sitt arbete. En effektiv IT-säkerhetspolicy är således ett unikt dokument för varje organisation, som odlas utifrån personalens perspektiv på risktolerans, hur de ser på och värderar sin information och den resulterande tillgängligheten som de upprätthåller för denna information. Av denna anledning kommer många företag att finna en standardiserad IT-säkerhetspolicy olämplig på grund av att den inte tar hänsyn till hur organisationens medarbetare faktiskt använder och delar information sinsemellan och till allmänheten.
Målen för en IT-säkerhetspolicy är att bevara konfidentialitet, integritet och tillgänglighet för system och information som används av organisationens medlemmar. Dessa tre principer utgör CIA-triaden:
- Konfidentialitet innebär att tillgångar skyddas från obehöriga enheter
- Integritet säkerställer att ändringen av tillgångarna hanteras på ett specificerat och auktoriserat sätt
- Tillgänglighet är ett tillstånd i systemet där auktoriserade användare har kontinuerlig tillgång till de nämnda tillgångarna
Integritetspolicyn för IT-säkerhet är ett levande dokument som kontinuerligt uppdateras för att anpassas till de föränderliga affärs- och IT-kraven. Institutioner som International Organization of Standardization (ISO) och U.S. National Institute of Standards and Technology (NIST) har publicerat standarder och bästa praxis för utformning av säkerhetspolicyer. Enligt National Research Council (NRC) bör specifikationerna för en företagspolicy omfatta följande:
- 1. Mål
- 2. Omfattning
- 3. Specifika mål
- 4. Ansvar för efterlevnad och åtgärder vid bristande efterlevnad.
Också obligatoriska för varje IT-säkerhetspolicy är avsnitt som ägnas åt efterlevnaden av de bestämmelser som styr organisationens bransch. Vanliga exempel på detta är PCI:s datasäkerhetsstandard och Baselöverenskommelserna världen över, eller Dodd-Frank Wall Street Reform, Consumer Protection Act, Health Insurance Portability and Accountability Act och Financial Industry Regulatory Authority i USA. Många av dessa tillsynsmyndigheter kräver själva en skriftlig IT-säkerhetspolicy.
En organisations säkerhetspolicy kommer att spela en stor roll för dess beslut och inriktning, men den bör inte förändra dess strategi eller uppdrag. Därför är det viktigt att skriva en policy som utgår från organisationens befintliga kulturella och strukturella ramar för att stödja kontinuiteten av god produktivitet och innovation, och inte som en generisk policy som hindrar organisationen och dess medarbetare från att uppfylla sitt uppdrag och sina mål.