W ostatnich latach, w dobie rosnącej konkurencji, coraz więcej firm i instytucji zauważa, że dla prawidłowo funkcjonującego przedsiębiorstwa oprócz klasycznych filarów, takich jak posiadane środki finansowe, unikalna technologia, dobre zarządzanie czy szerokie rynki zbytu coraz większe znaczenie ma właściwie pojmowana ochrona danych wewnętrznych firmy.
Powszechnie wiadomo, że bezpieczeństwo w instytucji jest na takim poziomie, na jakim zostały zorganizowane zabezpieczenia dla najsłabiej chronionego obszaru. Jak pokazuje praktyka, oprócz nielojalności czynnika ludzkiego, który stanowi najpoważniejsze zagrożenie dla bezpieczeństwa firmy, na drugim miejscu pod względem ryzyka plasują się systemy informatyczne a dokładniej ich niski poziom zabezpieczeń przed ingerencją z zewnątrz. Zatem politykę bezpieczeństwa instytucji w zakresie systemów informatycznych można zdefiniować jako zbiór praw, reguł i wskazówek praktycznych, które precyzują jak aktywa informatyczne - w tym informacje wrażliwe - są zarządzane, chronione i dystrybuowane w instytucji i w jej systemach informatycznych.
W szeroko pojętej polityce bezpieczeństwa dla się wyróżnić trzy zasadnicze poziomy:
Poziom I – dotyczy globalnej polityki bezpieczeństwa w instytucji, który definiuje podstawowe zasady bezpieczeństwa oraz wytyczne dla całej instytucji. Na tym poziomie określa się bezpieczeństwo instytucji w ogólnym zakresie, który obejmuje sobą przede wszystkim ogólne zasady ochrony np. ciągłości procesów biznesowych, zdolności produkcji i świadczenia usług, reputacji firmy, zawartych umów handlowych, obowiązujących w danej instytucji aktów prawnych, danych osobowych i szeregu innych.
Pziom II – dotyczy podziału na poszczególne chronione segmenty:
· Bezpieczeństwo Fizyczne,
· Ochronę Tajemnicy Przedsiębiorstwa,
· Bezpieczeństwo Personalne,
· Ochrona Danych Osobowych,
· Ochrona Tajemnicy Podmiotów Trzecich,
· Ochrona Systemów Informatycznych
Poziom III – Wytyczne szczegółowe i procedury obowiązujące w danej instytucji.
