I IT-verdenen vil en sikkerhetspolicy kommuniserer hvilke krav som stilles, når virksomhetens datasystemer installeres, vedlikeholdes og brukes. Altså gjør man det klart hvor policyen gjelder og for hvem. Man bør også redegjøre for hva som er meningen med den.
Merk: En policy skal kunne leses og forstås av hvem som helst. Den skal ikke fungere som noen teknisk dokumentasjon for de som er sikkerhetsansvarlige.
Sikkerhetspolicier er viktige fordi de styrer arbeidet med å utvikle sikkerhetsstandarder, sikkerhetsprosedyrer og sikkerhetsguider.
Å lage en sikkerhetspolicy bør gjøres i faser:
- Kartlegging av alle krav – forretningsmessige, lovregulerte, beste praksis og muligens noen som er virksomhetsspesifikke.
- Definere behovet og basert på dette lage et grovt forslag til policy.
- Skrive en komplett policy med utgangspunkt i forslaget.
- Kritisk vurdering av policyen også eventuelt vedtakelse av den.
- Publisering og distribusjon av policyen for hele virksomheten.
- Evigvarende vedlikehold og fornyelse når policyen trenger det, dvs. at man påbegynner kravinnsamling igjen.
En sikkerhetspolicy skal ikke lages i et vakuum, man må involvere alle avdelinger og ansatte som vil bli berørt av den.
TBC