CERT-komandaları. Məlumdur ki, informasiya təhlükəsizliyini tam (“100 %”) təmin etmək mümkün deyil və təəssüf ki, informasiya təhlükəsizliyinin pozulması halları baş verir. Belə hadisələrə “informasiya təhlükəsizliyi insidentləri” deyilir. İnformasiya təhlükəsizliyi insidentləri zamanı vurulan ziyanı minimumlaşdırmaq və insident nəticələrini qısa müddətdə aradan qaldırmaq üçün xüsusi qruplar – kompüter insidentlərinə reaksiya komandaları (ing. Computer Emergency Responce Team, CERT) yaradılır. İlk CERT-komandası 1988-ci ilin noyabrında Karnegi Mellon Universitetində yaradılmışdı (həmin vaxt proqramçısının adı ilə Morris soxulcanı adlanan zərərli proqram o vaxtkı İnterneti iflic etmişdi). CERT-komandasının tərkibinə informasiya texnologiyaları mütəxəssisləri ilə yanaşı hüquq və mətbuat xidməti əməkdaşları da daxil edilir. Hazırda bir çox CERT-komandası daimi fəaliyyət göstərir. Azərbaycan Respublikasında fəaliyyət göstərən aşağıdakı CERT-komandaları göstərmək olar.
Elektron Təhlükəsizlik Mərkəzi(Rabitə və Yüksək Texnologiyalar Nazirliyi) www.cert.az
Kompüter İnsidentlərinə Qarşı Mübarizə Mərkəzi – Xüsusi Dövlət Mühafizə Xidmətinin Xüsusi Rabitə və Informasiya Təhlükəsizliyi Dövlət Agentliyi nəzdindədir (www.cert.gov.az).
AzScienceCERT– AMEA İnternet şəbəkəsində (AzScienceNet) informasiya təhlükəsizliyi insidentlərinə cavabvermə qrupu (www.sciencecert.az).
İnformasiya təhlükəsizliyi siyasəti Siyasət – təşkilatın fəaliyyətinin müəyyən aspektlərini idarə etmək üçün təsbit edilmiş qaydalar məcmusudur. Siyasət fəaliyyətin məqsədlərinin, hüquqi tələblərin və ya təşkilatın korporativ normalarının təmin edilməsi üçün nə etmək lazım olduğunu müəyyən edir.
İnformasiya təhlükəsizliyi siyasәtinin işlənməsi informasiya təhlükəsizliyi sisteminin tәşkil edilmәsindә ilk tәlәblәrdәn biridir. İnformasiya təhlükəsizliyi siyasətinin məqsədirəhbərliyin informasiya təhlükəsizliyi üzrə idarəçiliyini və dəstəyini təşkilatın fəaliyyətinin tələblərinə, müvafiq qanunlara və normativlərə uyğun olaraq təmin etməkdir.
ISO 27001 standartına görə informasiya təhlükəsizliyi siyasəti daha ümumi sənədin – informasiya təhlükəsizliyinin idarə edilməsi siyasətinin altçoxluğudur. Bu siyasətlər bir sənəddə birləşdirilə bilərlər. Xüsusi informasiya təhlükəsizliyi siyasətləri (məsələn, antivirus siyasəti, parol siyasəti, İnternetdən istifadə siyasəti və s.) də işlənilə bilər.
Sənədləşdirilmiş informasiya təhlükəsizliyi siyasəti rəhbərliyin münasibətini bəyan etməli və informasiya təhlükəsizliyinin idarə edilməsinə yanaşmanı müəyyən etməli, informasiya təhlükəsizliyi anlayışını, onun əsas məqsədlərini və təsir dairəsini müəyyən etməli, qiymətləndirmənin strukturu və risklərin idarə edilməsi daxil olmaqla nəzarətin məqsədlərini və mexanizmlərini müəyyən etmək üçün əsas müddəaları əhatə etməlidir.
İnformasiya təhlükəsizliyi siyasəti üzrə sənəd rəhbərlik tərəfindən təsdiq olunmalı, nəşr edilməli və bütün işçilərə və müvafiq kənar tərəfdaşlara çatdırılmalıdır.
İnformasiya təhlükəsizliyi siyasəti təhlükəsizlik mexanizmlərinin və prosedurların (reqlamentlərin) köməyi ilə realizə olunur. Prosedurlar mahiyyətcə təhlükəsizlik mexanizmlərinin düzgün fəaliyyəti məqsədi ilə sistemin administratorlarının və istifadəçilərinin yerinə yetirdikləri addımlardır.