Политика информационной безопасности предприятия представляет собой свод правил, процедур и практических приемов, регулирующих управление, защиту и распределение ценной информации. Политика ИБ, доведенная до сведения всего персонала предприятия и нивелирующая разрозненные попытки противодействия угрозам, способна обеспечить достаточный уровень надежности системы информационной безопасности.

Требования к политике информацион­ной безопасности установлены в главе 5 Государственного стандарта O‘z DSt ISO/IEC 27002:2008 «Информационная технология. Методы обеспечения безопасности. Практические правила управления информационной безопасностью». Создание реально защищенной инфраструктуры ИБ невозможно без тщательно проработанной политики ИБ, от которой зависит действенность организационного, процедурного и программно-технического уровней обеспечения ИБ, при этом все указанные меры одинаково важны для реализации политики ИБ, основанной на едином подходе.

Этапы разработки системы информационной безопасности:

• проведение аудита информационной безопасности предприятия
• анализ возможных рисков безопасности предприятия и сценариев защиты
• выработка вариантов требований к системе информационной безопасности
• выбор основных решений по обеспечению режима информационной безопасности
• разработка нормативных документов, включая политику информационной безопасности предприятия
• разработка нормативных документов по обеспечению бесперебойной работы компании
• разработка нормативной документации по системе управления информационной безопасностью
• принятие выработанных нормативных документов
• создание системы информационной безопасности и системы обеспечения бесперебойной работы компании
• сопровождение созданных систем, включая доработку принятых нормативных документов.

Организационно-распорядительные и нормативно-методические руководства составляют основу политики ИБ:

• общая характеристика объектов защиты, описание функций и принятых технологий обработки данных
• описание целей создания системы защиты и путей достижения принятых целей
• перечень действующих угроз информационной безопасности, оценка риска их реализации, модель вероятных нарушителей
• описание принятых принципов и подходов к построению системы обеспечения информационной безопасности, которые разбиваются на два уровня:
  • административно-организационные меры – действия сотрудников организации по обеспечению норм безопасности
  • программно-технические меры
• описание системы управления доступом к информационным ресурсам компании, включая доступ к данным, программам и аппаратным средствам
• описание политики антивирусной защиты
• описание системы  резервного копирования
• описание порядка проведения восстановительных и регламентных работ
• описание системы расследования инцидентов
• порядок тестирования, приемки, аттестации и сертификации созданной системы на соответствие действующим стандартам
• план мероприятий по обеспечению безопасности, включая план развития системы информационной безопасности.

Необходимо учесть существующие нормы работы предприятия при разработке  политики информационной безопасности, сфокусировавшись не только на обеспечении высокого уровня безопасности, но и на минимизации влияния на производительность труда сотрудников и высоких затрат на свое создание.