.Segurança de dados e informações

Propósito da Política
• Deve apoiar sempre os objetivos da organização e nunca se apoiar em ferramentas e plataformas;
• Deve descrever o programa geral de segurança da rede;
• Deve demonstrar os resultados de sua determinação de risco, com as ameaças que está combatendo e as proteções propostas;
• Deve definir responsabilidades para implementação e manutenção de cada proteção;
• Deve definir normas e padrões comportamentais para usuários, para que o documento seja utilizado como prova se ocorrer alguma violação.
Conteúdo da Política
• Deve relacionar os recursos que se quer proteger e que software são permitidos em quais locais;
• Deve relatar o que acontece quando programas e dados não homologados são detectados no ambiente operacional;
• Deve relacionar quem desenvolveu as orientações, quem aprovou-as, quem detém privilégios e determina autorizações e quem é afetado pelas orientações;
• Deve descrever procedimentos para fornecimento e revogação de privilégios, informação de violação de segurança;
• Deve determinar gerência específica e responsabilidades dos envolvidos no controle e manuseio do ambiente operacional;
• Deve trazer explicações da importância da adoção dos procedimentos de segurança justificando-os junto aos usuários para que o entendimento dos mesmos leve ao comprometimento com todas as ações de segurança.
Implementação da Política
Nenhuma política deve ser implementada até que os usuários sejam treinados nas habilidades necessárias para seguí-la. As boas políticas de segurança dependem do conhecimento e cooperação dos usuários. Isto é particularmente relevante para segurança contra vírus e políticas sobre gerencia de senhas. Segurança requer mais que conhecimento. Todos usuários devem saber como agir quando se virem diante de uma violação ou possível violação. Todos usuários devem saber quem chamar se tiverem perguntas ou suspeitas, e devem saber o que fazer e o que não fazer, para minimizar