信息安全策略二

信息安全策略的内容有别于技术方案，信息安全策略只是描述企业保证信息安全的途径的指导性文件，它不涉及具体做什么和如何做的问题，只需指出要实现的目标。信息安全策略是原则性的，不涉及具体细节，对于整个组织提供全局性指导，为具体的安全措施和规定提供一个全局性框架。在信息安全策略中不规定使用什么具体技术，也不描述技术配置参数。信息安全策略的另外一个特性就是可以被审核，即能够对企业内各个部门信息安全策略的遵守程度给出评价。

企业信息安全策略框架包括安全策略、安全标准及规范、安全流程和细则，涉及的要素包括信息管理和信息技术两个方面，以及覆盖信息系统的物理层、网络层、系统层和应用层。

安全策略体现企业管理层对信息安全的支持和对安全的期望，为企业信息安全提出方向和要求。

安全规范按照安全策略对管理和技术方面的要求进行细化、具体化，并形成书面文档，将安全策略中的原则性要求结合到企业的发展现状中，具体化到日常的管理实践和技术设置中。

安全流程确保安全策略的具体落实，决定着整个安全策略是否真正得以有效执行。