Vía ISO27002.es he podido dar con la Web Open Directory - Computers: Security: Policy: Sample Policies que contiene un buen catálogo de documentos sobre políticas de seguridad.

Algunos de los documentos que se pueden encontrar son:

  • Politicas de Anti-Virus
  • Políticas de Application Service Provider
  • Políticas de Backup
  • Políticas de Certificación and Acreditación
  • Políticas de Criptografía
  • Políticas de Clasificación de Información y de dueños de datos
  • Políticas de Base de Datos
  • Políticas de Disaster Recovery Plan
  • Políticas de DMZ
  • Políticas de uso del correo electrónico
  • Políticas sobre leyes y ética
  • Políticas del uso de Extranet
  • Políticas de Privacidad (HSPD-12) Privacy Policy - Sample privacy policy including Privacy Act systems of records notices, Privacy Act statements and a privacy impact assessment, designed to satisfy the requirements of HSPD-12 “Policy for a Common Identification Standard for Federal Employees and Contractors”
  • Políticas de Identificación and Autenticación
  • Políticas del uso de Internet
  • Políticas del uso del Modem
  • Políticas del uso de la red (Network)pported by subsidiary policies. [PDF]
  • Políticas de Password
  • Políticas de Personal
  • Políticas de seguridad física
  • Políticas de Privacidad
  • Políticas de Acceso remoto
  • Políticas de utilización de recursos
  • Políticas de auditoría
  • Políticas de IT en general
  • Políticas de acuerdos con terceras partes
  • Políticas del uso de VPN
  • Políticas del uso de Wireless


En Guía para la elaboración del marco normativo de Seguridad ISO 27002 ya comenté las diferencias entre Política, Norma y Procedimiento aunque en ingles el término "policy" suele tener un carácter más general. Es habitual encontrar "policies" para todo, aunque muchas veces estos documentos tienen el objetivo de establecer regulaciones y por tanto deberían entenderse como normas.

Aumenta esta confusión además que en la norma ISO 27002 aparezca como control en el punto 5.1.1. la famosa "política de seguridad de la información".
En cualquier caso, el catálogo de documentación contiene una buena recopilación de diferentes enfoques a la hora de establecer un marco normativo, lo que suele venir bien cuando se anda intentando escribir estas cosas.

Como reflexión final, todo documento que intenta ser una política, norma o procedimiento tiene que tener un objetivo base "Que pueda ser algo cumplible". No se trata por tanto de hacer algo que quede bien o que sea completo, sino algo que sea real, asumible y cumplido por el área regulada.

Fuente:
http://sgsi-iso27001.blogspot.com/20...seguridad.html
http://sgsi-iso27001.blogspot.com/20...del-marco.html
http://www.dmoz.org/Computers/Securi...mple_Policies/