En IT-sikkerheds-politik er en liste over overvejelser og regler som i har lavet i forbindelse med at holde jeres system sikkert.
Hvilke informationer/data er der i systemet, som skal beskyttes?
Hvilke tilladelser og roller er der i systemet (se integritet ovenfor)? Hvem må hvad?
Hvilke ting må systemets brugere ikke gøre med systemet?
Hvilke typer af sikkerheds tiltag kan man anvende i forhold til at sikre fortrolighed?
F.eks. kodeord, password, fler-faktor-identifikation, bio-markører (fingeraftryk, øjenskanning, talegenkendelse etc.)
Regler for kodeord (hvor langt, hvilke tegn etc.)?
Hvad gør i hvis en bruger glemmer sit login?
Hvad gør i hvis en bruger får stjålet sit login?
Man kan tænke på forskellige typer af sikkerhed. En grundlæggende forskel for IT-verdenen er forskellen på logisk og fysisk sikkerhed:
Logisk sikkerhed omhandler alle de softwaremæssige aspekter af sikkerhed. F.eks:
Modmidler: Firewall, anti-virus, spam-scanner
Regler for kodeord
To-faktor godkendelse
biometriske faktorer (øje-skanner, fingeraftryk etc.)
Fysisk sikkerhed omhandler alle de "virkelige" aspekter af sikkerhed. F.eks:
Sikring imod indbrud.
Clear-desk-policy - udprint med følsomme informationer må ikke ligge fremme på kontoret.
Sikring imod vulkaner, oversvømmelse og Godzilla.