Una política de seguridad informática es un conjunto de protocolos de seguridad que un usuario u organización establece para sus computadoras. Por lo general, incluye detecciones de intrusos, configuraciones de firewall, contraseñas de acceso de usuarios, inicios de sesión y procedimientos para usar ciertas aplicaciones de hardware y software. El tipo de política de seguridad informática utilizada puede variar ampliamente para diferentes empresas y redes informáticas domésticas.

El departamento de tecnología de la información de una organización generalmente es responsable de determinar y establecer una política de seguridad informática. El departamento debe establecer un conjunto de protocolos sobre el acceso a nivel de usuario. Por ejemplo, algunos usuarios pueden obtener permiso para ciertas funciones de software y paquetes que otros no tienen. En algunos casos, ciertos tipos de acceso están restringidos para todos los empleados. Un ejemplo común es que los usuarios de computadoras en la mayoría de los lugares de negocios no pueden visitar ciertos sitios web que contienen material cuestionable o que permiten a un trabajador realizar negocios personales mientras está en el trabajo.

La seguridad externa es un componente vital de cualquier modelo de política. Se pueden emplear métodos de cifrado y redes privadas para evitar el acceso no deseado. Además, una política de seguridad informática también puede establecer firewalls y configuraciones de seguridad individuales.

Parte de una política de seguridad informática especifica cómo los datos pueden almacenarse y transferirse entre los usuarios. Algunos protocolos permiten transferir datos desde la estación de trabajo individual de un usuario a una unidad externa o cargarlos como un archivo adjunto de correo electrónico. Otras políticas pueden restringir esos privilegios y solo permiten a los usuarios compartir datos en una carpeta de red común. Se puede permitir el acceso remoto a ciertos programas y carpetas de red con ciertas credenciales de inicio de sesión.

Otra gran parte de cualquier política de seguridad informática determina cómo los usuarios pueden acceder a Internet y los programas que envían datos a través de ella, como el correo electrónico y la mensajería instantánea. Es bastante común que una política de seguridad informática otorgue acceso y uso a algunos de estos programas a ciertos usuarios mientras restringe otros. Por ejemplo, en un centro de atención telefónica, los puestos de nivel superior que requieren una mayor cantidad de comunicación pueden necesitar acceso a estas herramientas, mientras que los agentes de nivel inferior que atienden principalmente las llamadas entrantes los encontrarían molestos. Algunas compañías emplean una política general y solo otorgan acceso al personal directivo.

Las políticas de recuperación ante desastres a veces son parte de un protocolo formal de seguridad informática. La mayor parte de esta área de seguridad tiene que ver con el almacenamiento de respaldo y con quién puede acceder a ciertos datos en caso de desastres naturales que eliminen los sistemas completos. La planificación de infecciones virales o fallas del servidor también puede afectar las políticas de respaldo de datos. El departamento de tecnología de la información de una organización generalmente será responsable de diseñar planes de recuperación, asignar puntos de contacto y responsabilidades y educar a los usuarios en el lugar de trabajo sobre qué hacer para prepararse para tales eventos.