Под политикой информационной безопасности принято понимать совокупность основных правил, руководящих принципов и практических приемов в области безопасности, которыми регулируется защита конфиденциальной информации и регламентируется стратегия развития системы информационной безопасности.
На административном уровне защита информации осуществляется путем принятия управленческих решений на основе документа, который так и называется - политика информационной безопасности предприятия. Сложность разработки такого документа заключается в невозможности использования чужого опыта, отсутствии государственного типового шаблона и необходимости учитывать структурные и функциональные особенности конкретного предприятия. От тщательности проработки этого документа будет зависеть эффективность управленческих решений и степень защищенности информационных ресурсов.
Разработку политики информационной безопасности целесообразно начинать с анализа рисков. Для этого необходимо провести инвентаризацию и классификацию информационных ресурсов предприятия. Следует помнить, что информационные ресурсы не ограничиваются только лишь электронными хранилищами данных, они включают в себя программные и аппаратные ресурсы, физические ресурсы и сервисы, а также человеческие ресурсы.
В рамках классификации необходимо определить ценность каждого ресурса, которая количественно может быть рассчитана как функция от нескольких параметров, таких, как конфиденциальность, доступность, целостность. На основе этого можно получить интегральное значение ценности каждого информационного ресурса.
Далее оцениваются потенциальные информационные угрозы с точки зрения применимости к каждому ресурсу, рассчитывается вероятность возникновения и прогнозируется возможный ущерб от реализации угроз. Так формируется классификационный раздел политики информационной безопасности.
Помимо классификационного, политика информационной безопасности предприятия обязательно должна включать в свою структуру штатный раздел, положения которого учитываются, в частности, при разработке должностных инструкций. Отдельный раздел документа может быть посвящен мерам физической защиты информационных ресурсов с учетом специфики предприятия и требованиям к помещениям, где хранится информация.
Необходимо также учитывать, что политика информационной безопасности строится в соответствие с нормативно-правовой базой государства.