Generalnie, brakuje normatywnego obowiązkuw prowadzania dokumentów korporacyjnych poświęconych bezpieczeństwu informacyjnemu. Wiadomo, że dokumenty firmowe nie mogą eliminować zastosowania powszechnie obowiązujących przepisów prawa. Ich zadaniem w zakresie bezpieczeństwa informacji powinno być przede wszystkim uszczegółowianie ogólnych reguł, np. w zakresie zabezpieczeń danych i sposobu dostępu do nich. Jest to z pewnością dodatkowa presja wywierana na pracowników.

W kontekście naruszeń obowiązków pracowniczych, ramy wytyczone przez dokumenty firmowe poświęcone ochronie informacji w segmencie IT stanowić mogą podstawę do wyciągnięcia konsekwencji dyscyplinarnych, ze zwolnieniem włącznie. Dodatkowo wyłania się możliwość zastrzegania kar umownych, na wypadek nieprzestrzegania reguł w zakresie bezpieczeństwa danych. Kary takie znajdą się jednak z reguły w odrębnych od standardowych dokumentach korporacyjnych, np. aneksach do umów o pracę.

Kolejna kwestia to możliwość wykorzystania regulacji firmowych do ochrony tajemnicy przedsiębiorstwa. Przepisy ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, definiując pojęcie tajemnicy przedsiębiorstwa (obejmującej de facto m.in. informacje dotyczące sfery ekonomicznej czy organizacyjnej firmy), wymagają podjęcia stosownych kroków do zapewnienia im ochrony. Dopiero taka aktywność pozwala na wdrożenie ochrony prawnej, m.in. przed nieuprawnionym wykorzystywaniem czy pozyskiwaniem informacji. Regulamin korporacyjny będzie więc pierwszym krokiem. Samo oznaczenie w takim dokumencie informacji jako wrażliwych dla firmy, nie będzie jednak wystarczające, jeśli nie połączymy tego z konkretnymi działaniami ograniczającymi dostęp do nich. Pomimo tego, jednoznaczne określenie takich zasobów w dokumentacji skróci z pewnością ewentualne spory o charakter informacji, na wypadek ujawnienia tajemnicy przedsiębiorstwa.

Nazewnictwo materiałów korporacyjnych poświęconych bezpieczeństwu informacji lub ich rozdrobnienie w wielu dokumentach jest w zasadzie uzależnione od woli zarządzającego firmą. W szczególności to nie nazwa, a treść opracowania wyznacza jego faktyczną wagę dla ochrony informacji. Niemniej jednak rozczłonkowanie źródeł zasad dotyczących bezpieczeństwa informacyjnego nie służy przejrzystości zasad przyjętych w firmie. Niezależnie od przyjętej metodyki, warto zadbać o udokumentowanie wiedzy pracowników na temat istniejących w firmie zasad. Dzięki temu uniknie się problemów z udowodnieniem tego, iż pracownik miał świadomość reguł przyjętych w firmie.

Newralgiczną kwestią może być uregulowanie łączenia się z intranetem za pośrednictwem prywatnych urządzeń mobilnych pracowników. Jest to o tyle istotne, że niezbędne jest określenie, czy mamy do czynienia z nieuprawnionym dostępem. Brak zapisu w dokumentach korporacyjnych na ten temat, przy dopuszczeniu pracy także poza firmą, wykluczać będzie uznanie wymienionych zachowań za przekraczające granice wyznaczone przepisami prawa karnego. Trzeba pamiętać, że karalne pozostaje obecnie każde uzyskanie nieuprawnionego dostępu do systemu komputerowego, nawet jeśli nie jest to związane bezpośrednio z przełamaniem jakichkolwiek zabezpieczeń.

Dodatkowo, brak uregulowania kwestii łączenia się z siecią firmową za pomocą prywatnych urządzeń, rodzi wątpliwości pod kątem odpowiedzialności za niezabezpieczenie danych osobowych w sieci. Pamiętać trzeba, że zaniechanie podjęcia przez administratora czynności mających na celu zabezpieczenie danych osobowych przed osobami postronnymi, jest obwarowane odpowiedzialnością karną.

Co ciekawe, mechaniczne przepisywanie dokumentów sporządzonych na potrzeby konkurencyjnych firm, może rodzić wątpliwości z punktu widzenia prawa autorskiego. Choć jest to opracowanie podporządkowane określonym standardom i oczekiwaniom, to w najnowszym orzecznictwie Sądu Najwyższego [wyrok SN z 27.02.2009 r., V CSK 337/08] za mogącą zasługiwać na ochronę prawa autorskiego uznano nawet specyfikację istotnych warunków zamówienia publicznego. Ponadto ujawnia się ewentualna odpowiedzialność z tytułu dopuszczenia się czynu nieuczciwej konkurencji. Zwłaszcza, gdy mamy do czynienia z rozbudowanymi dokumentami korporacyjnymi.

Jak widać, epatowanie dokumentami korporacyjnymi jako wyłącznym elementem polityki bezpieczeństwa informatycznego jest błędem. Oczywiste jest, że na ochronę informacji w sektorze IT składają się przede wszystkim zabiegi techniczne, zaś przepisy prawne i regulacje uzupełniające je - to kwestia wtórna. Jednakże regulamin przyjęty przez firmę może mieć znaczenie dla audytu pod kątem dostosowania do takich standardów, jak norma PN-ISO/IEC 27001.