Bezpečnostní politika organizace

Bezpečnostní politika organizace tvoří jeden ze základních pilířů, na kterém stojí systém řízení informační bezpečnosti. Její definice je jedním z potřebných kroků. Pokud nejsou oficiálním způsobem jednoznačně definovány některé základní parametry, jako jsou např. povinnosti a odpovědnosti klíčových rolí a zaměstnanců organizace, může být následně celý systém budován chaoticky, neefektivně a neúčelně. A pouze na pevných a stabilních základech může být vystavěn pevný a stabilní systém řízení.

Bezpečnostní politika informačních a komunikačních technologií definuje základní bezpečnostní požadavky a nařízení, které mají za cíl zajistit ochranu a bezpečnost informací v organizaci.
Bezpečnostní politika určuje rámec informační bezpečnosti organizace a je po schválení vedením závazná pro všechny zaměstnance a je směrodatná i pro všechny externí subjekty, které přicházejí do kontaktu s ICT službami organizace.
Bezpečnostní politika musí být v souladu s politikou celé organizace, definuje základní strategii, cíle, postoje, role, zodpovědnosti a zásady týkající se činností spojených s informační bezpečností. Vychází také z existujících a platných interních směrnic a politik, které rozvíjí s ohledem na aplikovatelnost bezpečnostní dokumentace do prostředí organizace. Reflektuje závěry získané z analýzy rizik IS a definuje mechanismy zajišťující efektivní řízení informační bezpečnosti. Je podkladem pro budování nižších a specifických stupňů bezpečnostní dokumentace.

Mezi hlavní přínosy definované bezpečnostní politiky patří: