Στο πλαίσιο της λειτουργίας ενός Οργανισμού, μια πολιτική αποτελεί το σύνολο των οδηγιών της διοίκησης για τον τρόπο με τον οποίο πρέπει να λειτουργεί ο Οργανισμός. Περιλαμβάνει δηλαδή γενικές προτάσεις (high-level statements) που έχουν στόχο να καθοδηγήσουν τη λήψη αποφάσεων σχετικά με τα τρέχοντα και μελλοντικά ζητήματα που αντιμετωπίζουν τα μέλη του Οργανισμού. Πολλές φορές στον όρο "πολιτική" αποδίδεται η έννοια των γενικευμένων απαιτήσεων, στις οποίες θα πρέπει να ανταποκρίνεται η δράση και οι επιλογές των ανθρώπων τους οποίους αφορά η πολιτική.
Για τη σχεδίαση της πολιτικής ασφαλείας απαιτείται η ικανοποίηση των παρακάτω προϋποθέσεων :
• Πολιτική εξασφάλισης (security policy): Πρέπει να υπάρχει µια σαφής δέσµη βασικών αρχών, η οποία περιλαµβάνει τους στόχους των σχεδιαστών του Πληροφοριακού Συστήματος (ΠΣ).
• Ταυτοποίηση (identification): Κάθε αντικείµενο του συστήµατος πρέπει να µπορεί να αναγνωρισθεί θετικά.
• Σήµανση (marking): Κάθε αντικείµενο του συστήµατος πρέπει να συνοδεύεται από µια ένδειξη του βαθµού εµπιστευτικότητας του.
• Ελεγκτικότητα (accountability): Το σύστημα πρέπει να καταγράφει όλες τις ενέργειες που αφορούν ή µπορούν να επηρεάσουν την ασφάλεια του.
• Διαβεβαίωση (assurance): Το σύστηµα πρέπει να παρέχει τεχνικές ρυθµίσεις για την υλοποίηση της πολιτικής εξασφάλισής του, οι οποίες να µπορούν να εκτιµηθούν ως προς την αποτελεσµατικότητά τους.
• Συνεχής προστασία (continuous protection): Οι τεχνικές εξασφάλισης του ΠΣ πρέπει να προστατεύονται από κάθε ανεπιθύµητη µετατροπή.
Επίσης, θα πρέπει να πληρούνται οι παρακάτω ιδιότητες:
• Ευχρηστία (Usability): Το σύστηµα πρέπει να είναι σχεδιασµένο µε στόχο την διευκόλυνση του χρήστη.
• Γενικότητα (Generality): Το σύστηµα πρέπει να µπορεί να εκτελέσει ποικίλες διαδικασίες, σύµφωνα µε τις ανάγκες του χρήστη.
• Αποδοτικότητα (Effeciency): Το σύστηµα πρέπει να λειτουργεί γρήγορα και ορθά, χρησιµοποιώντας κατά βέλτιστο τρόπο τους διατιθέµενους πόρους.
• Ευελιξία (Flexibility): Το σύστηµα πρέπει να µπορεί να προσαρµόζεται σε διαρκώς µεταβαλλόµενες καταστάσεις.
• Αδιαφάνεια (Opacity): Ο χρήστης πρέπει να γνωρίζει µόνο ότι είναι απαραίτητο για να διεκπεραιώσει την εργασία του.
• Ασφάλεια (Security): Το σύστηµα πρέπει να διαφυλάσσει τα δεδοµένα ενός χρήστη από µη εξουσιοδοτηµένη χρήση τους από άλλους.
• Ακεραιότητα (Integrity): Οι χρήστες και τα δεδοµένα τους πρέπει να διαφυλάσσονται από απρόβλεπτες µετατροπές από µη εξουσιοδοτηµένους χρήστες.
• Ευκινησία (Capacity): Οι χρήστες δεν πρέπει να υφίστανται άσκοπους περιορισµούς στις ενέργειές τους.
• Αξιοπιστία (Reliability): Τα συστήµατα πρέπει να λειτουργούν σωστά, για όσο το δυνατόν µεγαλύτερο χρονικό διάστηµα.
• Συντηρησιµότητα (Serviceability): Πιθανά προβλήµατα στη λειτουργία του συστήµατος πρέπει να µπορούν να ξεπεραστούν εύκολα και γρήγορα.
• Επεκτασιµότητα (Extentability): Το σύστηµα πρέπει να µπορεί να αναβαθµισθεί εύκολα, µε επέκταση των δυνατοτήτων που διαθέτει.
• Διαθεσιμότητα (Availability): Το σύστηµα πρέπει να εξυπηρετεί τους χρήστες όσο το δυνατόν πληρέστερα.