As políticas de segurança para uma rede de computadores devem ser feitas baseadas em conjunto de regras e padrões, contudo é necessário o estudo de viabilidade do negócio da instituição. O motivo é assegurar que as informações sejam consistes e protegidas diante as ameaças e vulnerabilidades existentes.
Inicialmente um comitê gestor de segurança é instituído para que haja um controle das situações e auditoria dos mesmos, mas baseando-se nas camadas da organização é possível ligar essas políticas as diretrizes de tal forma:
Diretrizes – Camada Estratégica
Normas – Camada Tática
Procedimentos – Camada Operacional
As diretrizes expressam a importância que a empresa dá para a informação e o comprometimento para assegurar sua cultura organizacional.
Alguns exemplos de normas são:
Admissão de funcionários
Criação e manutenção de senhas
Uso da internet
Estas são apenas informações básicas e iniciais do processo, cada negócio possui um escopo diferente de proteção, sendo assim essas seriam premissas.