安全策略体系包含的内容

一个合理的信息安全策略体系包括三个不同层次的策略文档：

• 总体安全策略。阐述了指导性的战略纲领性文件，阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容；

• 针对特定问题的具体策略。阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容，例如，针对Internet访问操作、计算机和网络病毒防治、口令的使用和管理等特定问题，制定有针对性的安全策略；

• 针对特定系统的具体策略。更为具体和细化，阐明了特定系统与信息安全有关的使用和维护规则等内容，如防火墙配置策略、电子邮件安全策略等。