Politika bezpečnosti informací popisuje, proč se organizace rozhodla problematice věnovat, a definuje cíle, jichž chce na tomto poli dosáhnout. Formuluje závazky ke splnění určených požadavků a k trvalému zdokonalování řízení bezpečnosti informací.

Dokument musí být srozumitelný a dostupný všem zaměstnancům organizace. Problematice musí být věnována trvalá pozornost např. formou pravidelných školení zaměstnanců. O zásadách politiky bezpečnosti musí být informovány také třetí strany, aby ani jejich vlivem nedošlo k ohrožení informací, které bezpečnostní politice podléhají.

Politika bezpečnosti informací je klíčovým nástrojem ochrany informačních aktiv organizace. Absence jasně formulované politiky vede k nahodilé a méně účinné prevenci hrozeb pro ochranu dat, ochranu know-how a stabilitu společnosti.

Typický obsah dokumentu politiky bezpečnosti informací:

 • Důvody, cíle a způsoby zabezpečení informací
 • Organizační zajištění bezpečnosti (směrnice)
 • Politika mobilních zařízení a práce na dálku
 • Personální bezpečnost
 • Klasifikace a řízení informačních aktiv
 • Fyzické zajištění bezpečnosti (mříže, ostraha) a bezpečnosti prostředí (klimatizace serverovny)
 • Vyjasnění práv přístupu k IT systémům
 • Minimální požadavky na vývoj a údržbu systémů
 • Potřeby a způsoby šifrování
 • Způsob zajištění kontinuity činností (business continuity process, BCP)
 • Způsob zajištění souladu s legislativou (ISO 27000, GDPR, kybernetický zákon)