Politika bezpečnosti informací popisuje, proč se organizace rozhodla problematice věnovat, a definuje cíle, jichž chce na tomto poli dosáhnout. Formuluje závazky ke splnění určených požadavků a k trvalému zdokonalování řízení bezpečnosti informací.

Dokument musí být srozumitelný a dostupný všem zaměstnancům organizace. Problematice musí být věnována trvalá pozornost např. formou pravidelných školení zaměstnanců. O zásadách politiky bezpečnosti musí být informovány také třetí strany, aby ani jejich vlivem nedošlo k ohrožení informací, které bezpečnostní politice podléhají.

Politika bezpečnosti informací je klíčovým nástrojem ochrany informačních aktiv organizace. Absence jasně formulované politiky vede k nahodilé a méně účinné prevenci hrozeb pro ochranu dat, ochranu know-how a stabilitu společnosti.

Typický obsah dokumentu politiky bezpečnosti informací:

  • Důvody, cíle a způsoby zabezpečení informací
  • Organizační zajištění bezpečnosti (směrnice)
  • Politika mobilních zařízení a práce na dálku
  • Personální bezpečnost
  • Klasifikace a řízení informačních aktiv
  • Fyzické zajištění bezpečnosti (mříže, ostraha) a bezpečnosti prostředí (klimatizace serverovny)
  • Vyjasnění práv přístupu k IT systémům
  • Minimální požadavky na vývoj a údržbu systémů
  • Potřeby a způsoby šifrování
  • Způsob zajištění kontinuity činností (business continuity process, BCP)
  • Způsob zajištění souladu s legislativou (ISO 27000, GDPR, kybernetický zákon)