Политика безопасности – совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, регулирующие управление, защиту и распределение важными данными.
Существует два вида оценки системы информационной безопасности. Согласно с первым методом, проверяется, насколько невосприимчивой является система безопасности информации ко всем существующим методам проникновения.
Второй метод являет собой противоположный процесс, состоящий из нескольких этапов. На первом этапе проверяется, какие именно базы данных необходимо обезопасить. Далее проверяется используемая система безопасности, а также определяются методы защиты и решения, которые уже используются. На заключительном этапе все базы данных классифицируются и сортируются в зависимости от важности хранящейся в них информации. После этого необходимо выяснить, насколько серьезный ущерб будет нанесен предприятию в случае утечки информации. Величина ущерба обозначается целым неотрицательным числом от 0 до 5, где 0 - нанесение незначительного морального и финансового ущерба, а 5 - серьезные последствия, в результате которых компания прекращает существование.