Una valida politica di sicurezza deve:
Controllare l’attuale stato della sicurezza di rete
Definire i confini all’interno dei quali agire
Definire i comportamenti permessi e quelli vietati
Definire quali siano gli strumenti e le procedure necessari
Definire i ruoli del personale
Definire come gestire eventuali incidenti
Una valida politica di sicurezza deve contenere:
Politica di uso delle risorse hardware e software accettabile
Politiche di identificazione e autenticazione
Politica di uso di Internet e della LAN
Politica di accesso remoto
Procedure di gestione degli incidenti
Modelli di politiche di sicurezza teoriche:
Aperta
E' permesso tutto ciò che non è esplicitamente negato
Restrittiva
Combinazione di divieti e permessi specifici
Chiusa
E' vietato tutto ciò che non è esplicitamente permesso