Nie spodziewaj się, że określisz politykę, a potem będziesz mógł o niej zapomnieć. Wymagania twojej organizacji będą się z czasem zmieniać, a polityka, która niegdyś była całkiem rozsądna, może stać się zbyt surowa albo zbyt łagodna. Czasem zmiany są nieuchronne: jeśli pracujesz dla początkującej firmy, w której zatrudnienie wzrasta z sześciu do sześciu tysięcy osób, prawdopodobnie uświadomisz sobie, że zaszły istotne zmiany (choć niewykluczone, że i tak nie zabierzesz się za przepisanie polityki, jeśli zawczasu nie wypracowałeś odpowiednich mechanizmów). Jeśli jednak pracujesz dla założonego przed dwustu laty uniwersytetu, zmiany będą dużo rzadsze. Pomimo to, choćby się wydawało, że organizacja robi co w jej mocy, aby zmienić się w żywą skamielinę, i tak zmieniają się komputery oraz zewnętrzne sieci, a ludzie przychodzą i odchodzą. Będziesz musiał regularnie rewidować i uaktualniać swoją politykę.

Omówienie konkretnych kwestii bezpieczeństwa Ze względu na różnice między organizacjami, trudno mówić o konkretnych kwestiach bezpieczeństwa, nie poświęcając tym zagadnieniom oddzielnej książki. Poniżej podajemy jednak kilka typowych kwestii, które powinieneś rozważyć podczas pisania polityki bezpieczeństwa:

Kto może mieć konto w twojej sieci? Czy masz konta gościnne? Jak traktujesz dostawców, sprzedawców i klientów? Czy konta mogą być współdzielone przez kilku ludzi? Co z sekretarką, która używa konta dyrektora, aby posortować jego pocztę elektroniczną? Co z projektami zespołowym? Co z członkami rodziny? Czy za współdzielenie konta należy uznać to, że ktoś pozwoli komuś na spędzenie kilku chwil przy jego komputerze?

Kiedy ludzie tracą konto i co robisz w tej sytuacji? Co się dzieje, gdy ludzie odchodzą z pracy albo gdy cofnięto im dostęp? Kto może konfigurować modemy pozwalające na dostęp z zewnątrz?