Podstawowym dokumentem opisującym politykę bezpieczeństwa jest RFC 1224. W Polsce obowiązuje polska norma PN-I-13335-1
W normie tej zawarte są między innymi wszelkie definicje dotyczące bezpieczeństwa a także cele polityki bezpieczeństwa systemów komputerowych. Norma ta jest nowym dokumentem -powstała w roku 2000 i jest to pierwsza jej wersja.
Zgodnie z PN polityka bezpieczeństwa została podzielona na trzy poziomy:
- organizacji,
systemów informacyjnych, systemu informacyjnego.
a) wyjaśnienia - przekonanie użytkownika o słuszności i zasadności stosowania polityki bezpieczeństwa,
b) informacje określające co podlega ochronie, wymagania odnoszące się do ochrony, podstawowe zasady dostępu,
c) podział kompetencji,
d) odpowiedzialność,
Polityka nie powinna zawierać
a) żadnych metod zabezpieczeń systemów,
b) żadnych standardów.
Definicja polityki w rozumieniu PN:
Polityką bezpieczeństwa nazywamy zbiór ogólnych zasad i podstawowych wymagań określających w jaki sposób powinny być zarządzane udostępniane i chronione przed nieupoważnionym wykorzystaniem zniszczeniem lub nieautoryzowanymi zmianami materialne i informacyjne aktywa organizacji.
Podstawowymi ustawami są:
1. Ustawa z dnia 27. VIII. 1997 r. o ochronie danych osobowych,
2. Ustawa z dnia 22.1.1999 r. o ochronie informacji niejawnych,
3. Ustawa z dnia 22.VIII. 1997 r. o ochronie osób i mienia,
4. Ustawa z dnia 16.IV. 1993 r. o zwalczaniu nieuczciwej konkurencji,
5. Kodeks pracy (ustawa z 26. Vi. 1974 r.), Ustawa z 02.02.1996 r. (zmiany KP)
6. Ustawa z dnia 04.11.1994 r. o prawie autorskim i prawach pokrewnych
1 Ustanowiona 01.28.1999 r.; Nazwa: „ Technika informatyczna - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych - Pojęcia i modele bezpieczeństwa systemów informatycznych IDT1SO/IEC Tri3335 ”
Politechnika Rzeszowska im. Ignacego Łukasiewicza Zakład Systemów Rozproszonych Rzeszów 2002