Informācijas drošības politikas noteikumi bieži vien tiek izstrādāti kā atsevišķs dokuments, reaģējot uz regulatora, kas nosaka noteikumus uzņēmumiem konkrētā nozarē prasību. Ja drošības politika nav ieviesta, pret pārkāpējiem var tikt vērstas represijas, tostarp arī darbības apturēšana. Uzņēmumā ir svarīga informācijas pārvaldība un konfidencialitāte.
Drošības politika ir arī obligāta noteiktu standartu – vietējo vai starptautisko, sastāvdaļa. Ir jāievēro īpašas prasības, ko parasti izvirza ārējie revidenti, kas pārbauda organizācijas darbību. Drošības politikas trūkums rada negatīvu atgriezenisko saiti un šādi vērtējumi negatīvi ietekmē tādus rādītājus kā reitings, uzticamība, utt.
Drošības politika parādās tad, kad pati augstākā vadība saprot nepieciešamību pēc strukturētas pieejas informācijas drošības tēmai. Šādus risinājumus var likt lietā pēc tehnisko līdzekļu ieviešanas, kad ir apziņa, ka šie līdzekļi ir jāpārvalda, tiem jābūt pastāvīgā kontrolē. Bieži informācijas drošība ietver arī jautājumus par attiecībām ar personālu (darbinieks var tikt uzskatīts ne tikai par aizsargājamo personu, bet arī par objektu, no kura informācija ir jāaizsargā), citi aspekti un faktori, kas pārsniedz darbinieku aizsardzību. Datortīkls un nesankcionētas piekļuves tam novēršana.
Attiecīgo noteikumu esamība norāda uz organizācijas dzīvotspēju informācijas drošības jautājumos. Skaidrs informācijas drošības nodrošināšanas noteikumu formulējums liecina, ka šajā procesā ir panākts būtisks progress.
Lai izveidotu efektīvu informācijas drošības sistēmu, ir jāizstrādā:
Tāpat efektīvai informācijas aizsardzības organizēšanai būtu jāizstrādā ārkārtas situāciju plāni. Tie ir nepieciešami informācijas sistēmu atjaunošanas gadījumā.
Galvenās drošības koncepcijas sadaļas ir:
Drošības politika ir jāveido ņemot vērā divus galvenos aspektus:
No iepriekš minētā izriet vēl divas prasības attiecībā uz drošības instruktāžu:
Kad informācijas drošības politika ir gatava, ir nepieciešama plānota organizācija, lai to ieviestu ikdienas darbā. Lai to izdarītu, ir nepieciešams:
Potenciālie ārējie drošības apdraudētājii:
Potenciālie iekšējie lietotāji:
Lai organizētu drošu informācijas aizsardzību no katras no uzskaitītajām grupām ir nepieciešami savi noteikumi. Katrs no gadījumiem ir informācijas noplūde. Pirmkart ir jāizstrādā noteikumi personāla uzvedībai birojā, otrkārt gadījumā ķerties pie tehniskiem līdzekļiem, kas paaugstina informācijas drošību, novērš noplūdes no datortīkliem. Izstrādājot informācijas drošību, nepieciešams ņemt vērā uzskaitīto grupu specifiku un nodrošināt efektīvus pasākumus informācijas noplūdes novēršanai katrai no tām.
Informācijas drošības nodrošināšana ir priekšnoteikums veiksmīgai uzņēmuma darbībai. Drošības politikas nodrošināšana ietver jebkuru darbību, kuru mērķis ir aizsargāt informācijas resursus un atbalstīt infrastruktūru. Politika attiecas uz visām automatizētajām un telekomunikāciju sistēmām, kas ir īpašumā un kuras tiek lietotas iestādē. Galvenais mērķis, kuram ir paredzēti visi šīs politikas noteikumi, ir aizsargāt informācijas resursus no iespējamiem materiālajiem zaudējumiem, fiziska, morāla vai cita veida kaitējuma, kas radies nejaušas vai tīšas darbības rezultātā.
Visi aizsargājamie informācijas resursi jāklasificē pēc nozīmīguma un pieejamības pakāpes. Informāciju klasificē un apstiprina iestādes vadība. Periodiski klasifikācija jāpārskata, lai to atjauninātu atbilstoši resursu kategorijai. Resursiem, kas satur konfidenciālu vai kritiski svarīgu informāciju jābūt izceltiem pārējo vidū.
Iestādei jānosaka drošības prasības, izmantojot metodiskus riska novērtējums. Risku novērtējumos jāprioritizē riski saskaņā ar iestādes riska pieņemšanas kritērijiem un uzņēmējdarbības mērķiem. Novērtējuma rezultātiem būtu jānosaka atbilstoša vadības reakcija, prioritātes un kontroles mehānismi, lai aizsargātu pret šiem riskiem. Riska novērtējums ietver sistemātisku riska analīzes un riska novērtēšanas apvienojumu.
Aprakstītie pienākumi informācijas resursu drošības nodrošināšanā saskaņā ar iestādes drošības politiku jāpaziņo darbiniekam, kad tas tiek pieņemts darbā un kad noteikumi ir iekļauti viņa oficiālo pienākumu klāstā. Tam jāietver gan vispārīgie pienākumi saistīti ar drošības politikas ieviešanu un uzturēšanu, kā arī konkrēti pienākumi par to kā aizsargāt resursus un veikt īpašas ar drošību saistītas darbības.
Visiem pieņemtajiem darbā darbiniekiem ir jāapstiprina un jāparaksta viņu darba līgumi, kas nosaka viņu atbildību par informācijas drošību. Līgumā jāiekļauj darbinieka piekrišana uzņēmuma kontroles pasākumu veikšanai par drošības politikas prasību ievērošanas pārbaude, kā arī konfidenciālas informācijas neizpaušanas pienākumi. Līgumā jāapraksta veicamie pasākumi darbinieka drošības politikas prasību neievērošanas gadījumā.