Hlavním cílem bezpečnostní politiky společnosti je trvalé a kvalitní zajištění dostupnosti, důvěrnosti a integrity informací, které jsou zpracovávány v prostředí informačního systému, a zajištění odpovědnosti uživatele za jeho činnost v informačním systému. Za tím účelem je zpracován registr rizik, který obsahuje úplnou identifikaci všech informačních aktiv společnosti, jejich klasifikaci, identifikaci hrozeb a stanovení úrovně rizika. V registru jsou stanovena opatření, která snižují úroveň rizika na akceptovatelnou hranici.
Koncepce bezpečnosti informací vychází ze zásady používání údajů a informací pouze tam, kde je jich nezbytně zapotřebí. Chráněná aktiva smí používat pouze ty osoby, které je potřebují ke prospěchu společnosti nebo v souladu s jeho zájmy, a to s takovými oprávněními, které nutně potřebuje.
ČSN EN ISO 27001 : 2006
(ČSN BS 7799-2:2004)
