Informatiebeveiligingsbeleid vormt de hoeksteen van het bijbehorende beveiligingsprogramma van een bedrijf. Het beleid zou een weergave moeten zijn van de doelstellingen op het gebied van beveiliging en van de strategie die door het management is vastgesteld met betrekking tot het beveiligen van informatie.
Om bruikbaar te kunnen zijn als leidraad voor een beveiligingsprogramma, moet het beleid formeel worden goedgekeurd door het management. Dat betekent dat voor het samenstellen van een beleidsdocument met betrekking tot dit onderwerp duidelijke doelstellingen moeten worden geformuleerd, en dat er consensus moet zijn over de managementstrategie voor het beveiligen van bedrijfsgegevens. Meningsverschillen over de inhoud van dit beleid moeten tijdig zijn weggenomen, om te voorkomen dat discussies voortwoekeren terwijl onderdelen van het beleid al worden geïmplementeerd. Dat laatste kan tot gevolg hebben dat het beveiligingsprogramma niet goed functioneert.
Er is een overvloed aan kant-en-klare beveiligingsproducten verkrijgbaar, maar er zullen er maar weinig worden goedgekeurd zonder dat het MT er eerst tot in detail uitleg over heeft gekregen van een beveiligingsexpert. De kans dat dit gebeurt is vrij klein, gezien de tijdsdruk waaronder managers werken. Mocht het lukken de betrokken managers direct te overtuigen van het nut van een kant-en-klaarpakket, dan is dat overigens bepaald niet de beste manier om ze over informatieveiligheid te laten nadenken. Het is veel beter de ontwikkeling van beveiligingsbeleid op gang te brengen door eerste na te gaan hoe het management tegen dit onderwerp aankijkt. Beveiligingsbeleid bestaat per definitie uit een set van managementmandaten met betrekking tot informatiebeveiliging, en die mandaten vormen de routekaart die de beveiligingsexpert binnen een bedrijf dient te volgen. Als dit niet gebeurt, en de expert in kwestie legt het management mandaten voor waar het alleen maar een handtekening onder hoeft te zetten, dan is de kans groot dat er wordt voorbijgegaan aan de eisen die het MT aan het beveiligingsbeleid moet stellen.
Een beveiligingsdeskundige die een beleid moet ontwikkelen, moet daarom tegelijkertijd de rol aannemen van een spons en een tekstschrijver. In de rol van de spons moet hij goed kunnen luisteren en de inhoud van ieders boodschap kunnen oppikken, ongeacht de communicatieve vaardigheden van de persoon in kwestie en ongeacht eventuele cultuurverschillen. In de rol van de tekstschrijver moet hij de inhoud die hij als spons heeft opgepikt op een goede manier en zonder opsmuk kunnen documenteren, waarbij hij zijn eigen mening op de achtergrond houdt. Een goede spons-en-tekstschrijver is in staat de belangrijkste thema’s te distilleren uit gesprekken die hij met het management voert, en vervolgens een goed verhaal neer te zetten waarin wordt uitgelegd hoe het bedrijf waar hij voor werkt zijn informatie zal gaan beveiligen.

Reageer