Политика безопасности - это определение того, что означает быть защищенным для системы, организация или другой субъект. Для организации это касается ограничений на поведение ее членов, а также ограничений, налагаемых на противников такими механизмами, как двери, замки, ключи и стены. Для систем политика безопасности касается ограничений функций и потоков между ними, ограничений доступа внешних систем и злоумышленников, включая программы, и доступа людей к данным.
Если безопасность важна, то важно убедиться, что вся политика безопасности реализуется с помощью достаточно надежных механизмов. Существуют организованные методологии и стратегии оценки рисков, чтобы гарантировать полноту политик безопасности и гарантировать их полное соблюдение. В сложных системах, таких как информационные системы, политики могут быть разложены на подполитики для облегчения распределения механизмов безопасности для обеспечения соблюдения подполитик. Однако у этой практики есть подводные камни. Слишком просто перейти непосредственно к подполитикам, которые по сути являются правилами работы и обходятся без политики верхнего уровня. Это дает ложное представление о том, что правила работы обращаются к некоторому общему определению безопасности, когда это не так. Из-за того, что так трудно ясно и полно думать о безопасности, правила работы, сформулированные как «подполитики» без «суперполитики», обычно оказываются бессвязными правилами, которые не могут обеспечить полное выполнение чего-либо. Следовательно, политика безопасности верхнего уровня важна для любой серьезной схемы безопасности, а подполитики и правила работы без нее бессмысленны.