Política de Segurança da Informação é a base para a proteção de muitos ativos e a informação precisa ser reconhecida como um dos principais ativos da organização. Porém, essa política precisa descobrir o que é necessário para melhorar a segurança, mas é imprescindível o apoio de todos os gestores da organização [ABNT, 2005].

O primeiro item a ser analisado e avaliado é a informação, e dessa deve ser extraído os seus ativos, que são tudo que manipulam, processam, armazenam ou modificam a informação. Para cada ativo da informação existirá um responsável, e em segurança da informação esse é conhecido por proprietário. É preciso saber também os fatores que podem influenciar na segurança da informação, esses são: vulnerabilidade, isto é, fraqueza anexa à informação; risco, a possibilidade de um agente explorar as vulnerabilidades; Ameaça, agente com potencial para explorar as vulnerabilidades. A importância de conhecer a informação, entre outros, possibilita determinar a que preço protegê-la.

É indispensável que o trabalho da política procure conhecer bem as ameaças e gerar uma lista com todos os objetivos de segurança, e esses objetivos precisam está ligados a, pelo menos, uma ameaça e/ou a uma legislação [ALBUQUERQUE, 2002].

Toda política que visa proteger a informação precisa se dedicar à confidencialidade, à integridade e à disponibilidade que são propriedades da segurança da informação [ABNT, 2006]:

Confidencialidade: propriedade que a informação não esteja disponível ou revelada, a indivíduos, entidades ou processos não autorizados [NBR ISO/IEC 27001:2006, 2006, p.2].

Integridade: propriedade de salvaguarda da exatidão da informação [NBR ISO/IEC 27001:2006, 2006, p.3].

Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada ISO/IEC 27001:2006, 2006, p.3].E, para reforçar as propriedades de segurança da informação é importante destacar os elementos de segurança:

• Vigilância: Todos os membros da organização devem saber a importância da segurança da informação e atuar como guardiões desse ativo.
• Atitude: Todos os colaboradores deverão proceder sempre visando a segurança da informação, comunicando erros, falhas, incidentes e qualquer situação que possa comprometer-la e nunca esperar que outras pessoas tomem a atitude.
• Estratégia: criação de processos comprometidos com as metas que visam a defesa da informação, continuidade dos negócios e o repeito a legislação.
• Tecnologia: Essa deverá ser suficiente para trabalhar a informação e possuir recursos de proteção.[NAKAMURA: 2007, p.192]

A ABNT como base à Política de Segurança da Informação para Dispositivos Móveis recomenda que o documento da política descreva o comprometimento da direção, a tecnologia e os procedimentos. E para facilitar o sucesso da política é fundamental que essa seja amplamente divulgada.

Segundo a ABNT convém que esse documento contenha:

a) definição de segurança da informação, suas metas globais, escopos e importância da segurança da informação e o compartilhamento da informação;

b) declaração de comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio;

c) uma estrutura para estabelecer os objetivos de controles e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;

d) explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:

1. conformidade com a legislação e com requisitos regulamentares e contratuais;
2. requisitos de conscientização, treinamento e educação em segurança da informação;
3. gestão de continuidade de negócio;
4. consequências das violações na política de segurança da informação;
5. definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação;
6. referência à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir. [NBR ISO/IEC 27002:2005, 2005, p.8].