信息安全策略的内容有别于技术方案,信息安全策略只是描述企业保证信息安全的途径的指导性文件,它不涉及具体做什么和如何做的问题,只需指出要实现的目标。信息安全策略是原则性的,不涉及具体细节,对于整个组织提供全局性指导,为具体的安全措施和规定提供一个全局性框架。在信息安全策略中不规定使用什么具体技术,也不描述技术配置参数。信息安全策略的另外一个特性就是可以被审核,即能够对企业内各个部门信息安全策略的遵守程度给出评价。
企业信息安全策略框架包括安全策略、安全标准及规范、安全流程和细则,涉及的要素包括信息管理和信息技术两个方面,以及覆盖信息系统的物理层、网络层、系统层和应用层。
安全策略体现企业管理层对信息安全的支持和对安全的期望,为企业信息安全提出方向和要求。
安全规范按照安全策略对管理和技术方面的要求进行细化、具体化,并形成书面文档,将安全策略中的原则性要求结合到企业的发展现状中,具体化到日常的管理实践和技术设置中。
安全流程确保安全策略的具体落实,决定着整个安全策略是否真正得以有效执行。