officials and subdivisions. The upper sublevel should also include the documents like 
“Conception of Information Security Provision”, “Rules of Permissible Usage of 
Information System Resources”, “Roadmap of Eternal Business Provision”.  

The middle sublevel of the microlevel involve the documents regulating special 

aspects of information security. That might be the requirements on development and 
usage of definite means of information security, arrangement of information and 
business processes dealing with definite aspect of information protection, such as Data 
Protection, Communication Security, Usage of Cryptographic Protection Means, 
Content Filtration etc. These documents are usually issued as internal technical and 
organizational policies or standards and are confidential.  

The bottom sublevel includes regulations, instructions and guides on operations 

of information security services.  

The example of the Model Implementation. The described model has been 

implemented by Bristol University (UK), where the Information Security Policy has 
been introduced aiming to ensure that all information and information systems 
(information assets) which are of value to the University are adequately protected 
against the adverse effects of failures in confidentiality, integrity, availability and 
compliance with legal requirements which would otherwise occur [41]. It is assumed 
that achieving this objective largely depends on all members of the University 
complying with this policy. Therefore, the following eight principles to underpin the 
Information Security Policy of Bristol University has been adopted: 

1.

 

Information will be protected in line with all relevant University policies and 

legislation, notably those relating to data protection, human rights and freedom of 
information. 

2.

 

Each information asset will have a nominated owner who will be assigned 

responsibility for defining the appropriate uses of the asset and ensuring that 
appropriate security measures are in place to protect the asset. 

3.

 

Information will be made available solely to those who have a legitimate need 

for access. 

4.

 

All information will be classified according to an appropriate level of security. 

5.

 

The integrity of information will be maintained. 

6.

 

It is the responsibility of all individuals who have been granted access to 

information to handle it appropriately in accordance with its classification. 

7.

 

Information will be protected against unauthorized access. 

8.

 

Compliance with the Information Security Policy will be enforced.  

Moreover, the University’s Information Security Policy complies with stringent 

legal requirements and provides the necessary assurance that data held and processed 
by the University is treated with the highest appropriate standards to keep it safe. The 
aims of the policy in the MICRO level (that is the level of the legal entity) are: to raise 

- 1043 -