【IT168专稿】安全策略是决策制定者关于如何保护企业的物理资产和信息资产的职责声明，在其基本格式中，安全策略是一份文档，它描述了公司或机构的安全控制和活动。在安全策略中并没有指定技术或专门的解决方案，它定义了目的和条件的特定集合，这些目的和条件将帮助公司顺利开展网络业务。

    对于全面、广泛而有效的安全规划来说，安全策略是必不可少的基础。安全策略是将管理者对于安全的期望转换为特定的可衡量和可测试的目标与对象的主要方式，它指导人们建立、安装和维护计算机系统，从而不必亲自来做这些决策。安全策略的目的是保存并保护有价值的、机密的或专用的信息，以防止非法授权的访问或泄露；限制或取消来自雇员或第三方潜在的法律责任；防止机构中资源的浪费或不合理使用。

    安全策略开发者

    安全策略不应当仅由信息技术部门的人员来开发，而应当由今后受该策略影响的整个组织中的各个部门人员共同努力开发出来。通常，在开发安全策略的时候不应当是由安全信息部门"闭门造车"开发出来的。然而一套好的安全策略应当让全体公司员工树立全面的安全意识，而不应当仅仅是阐明了信息技术部门的责任。每一个组织应当有一个安全核心部门，该部门负责安全策略的开发。要求建立核心部门是因为该部门将责任汇总需要的策略并对其进行编辑，还将责任强制策略在各个相关专业部门实施和各部门有关安全的信息交流，不同部门和个人都将在安全策略中参与和扮演角色，以便保证安全策略的统领下，他们都愿意遵守安全策略。

    在创建安全策略时，应当有人力资源部、法律部、信息技术部和物理安全部。人力资源部的参与的作用：当安全策略涉及到员工奖惩时，人力资源部将常常负责安全策略的强制执行。当公司策略被违犯的时候，人力资源部执行惩罚直至开除的处理。通常人力资源部也负责与每个员工签约，约定中阐明他们已经阅读和理解了公司的政策，以便当员工不遵守政策而必须负责的时候，不会产生其他后患问题。法律部参与的好处：通常，有内部法律部门和外聘法律代表的公司将需要在组织机构的文档中重复和阐述一些法律条款，以免公司所属国和所在国适应法律的特殊条款难以回避。为了公司的策略可以适应于公司中的单个员工，建议所有的公司在策略中给出一些具体的法律条款意见。在大多数公司，安全策略的目的在于强制计算机系统、特别是架构于计算机基础设施上的安全控制的实施。在这些公司中，从事信息技术的员工是策略实施时涉及的最大部分客户。物理安全部的作用：一些公司有物理环境安全部门，它们独立于信息技术部，而且它们与技术基础设施关系密切，这些部门通常执行策略中专门指定的物理安全控制。