FONTES [5], "A política de segurança da informação é o conjunto de diretrizes que deve expressar o pensamento da alta administração da instituição em relação ao uso da informação por todos aqueles que têm acesso a esse bem. Neste caso, a administração está representando os proprietários que, como donos, devem decidir os destinos de todos os recursos da instituição".

Dessa maneira podemos definir a política da segurança como sendo sistemáticas gerenciais que visam determinar o nível de segurança de uma rede ou sistemas de informação de uma instituição, suas funcionalidades e a facilidade de uso.

Essas sistemáticas são reunidas em um documento formal com regras pelas quais as pessoas deverão aderir para ter acesso à informação e à tecnologia da instituição. Para se estabelecer uma política de segurança é necessário conhecer os objetivos da instituição, para depois poder medí-los e verificar as ameaças.

Algumas características da política de segurança:

Algumas características de LIMA [6], abaixo:

• Ser verdadeira: a política deve realmente exprimir o pensamento da instituição e deve ser coerente com as ações dessa instituição. Deve ser possível o seu cumprimento.
  
  
• Ser curta: duas a três páginas são suficientes para se formalizar uma política. Não devemos confundir política com normas e procedimentos de segurança. A política não deve ser um "Manual de Procedimentos". Este manual pode até existir, mas terá vida própria.
  
  
• Ser válida para todos: a política deve ser cumprida por todos os usuários que utilizam a informação da instituição. Ela é válida para o diretor e para o estagiário recém contratado. Normalmente o "rei" não causa maiores problemas. Os problemas deste tipo são causados pelos "amigos do rei".
  
  
• Ser simples: a política deve ser entendida por todos. Deve ser escrita em linguagem simples e direta. A política não deve conter termos técnicos de difícil entendimento pelos "mortais".
  
  
• Ter o patrocínio da alta direção da instituição: o documento normativo que formalizará a política deve ser assinado pelo mais alto executivo, explicitando assim o seu total apoio à política.

As políticas de segurança podem variar muito, mas em geral sempre existem alguns pontos em comum.

• A Informação como um Bem da instituição - uso profissional;
• Controle do acesso à Informação;
• Responsabilidades - usuário e gerência;
• Preparação para situações de contingência - continuidade operacional;
• Privacidade do usuário - arquivos pessoais, correio eletrônico;
• Medidas disciplinares que serão utilizadas caso a Política não seja cumprida.

A política de segurança proporciona o direcionamento para as implementações técnicas. Implementar procedimentos de segurança sem uma política definida é equivalente a navegar sem saber onde se quer chegar. Porém a política deve ser um elemento de um conjunto de ações que compõem o processo de segurança da instituição.