安全策略机构

    一般来说，安全策略可以接收它的受众和使用范围而被分解成多个部分，通常根据所适应的特殊环境将它划分成计算机系统和网络部、人事管理部和物理安全部三个部分。这些策略常常适应于系统和网络管理员，他们负责计算机和网络的设计、运营和技术支持。这些策略告诉管理员应当使用什么类型的技术、怎么样放置和什么地方放置网络控制、应该为业务需求选择什么样的产品等。例如包括口令和认证机构的选择，反病毒和桌面防火墙软件、硬件防火墙、网络划分等分级保护措施的设置。策略会告诉管理员，公司将从这些不同类型的策略中得到怎样的收获。
   
    人事管理部的安全策略，这些策略用于各个员工。一般来说，它们对全体员工有效，任何人都不能例外，以便统一整个企业的行为。这些策略将告诉员工应当怎样以安全的方式从事自己每天的业务。例如，这类策略包括口令的管理、重要信息或机密信息的处理、社会工程的安排等。策略会告诉员工，公司对不同部门的人工有什么样的期望。物理安全部安全策略，这些策略通常用于设备和稍微外围的一些系统和网络管理员，它们需要定义需要使用什么样的物理安全控制。例如，这类策略包括可视监控系统、进出门的控制装置和声音报警器。策略告诉负责保卫安全的管理员和员工应当对公司的物理资产和员工人身安全负责。

    安全策略告诉它的受众那些事情必须做，但没说这些事情如何做--这由下面的执行部分来完成，而执行部分和策略本身是完全独立的。当然，真实的技术、预算和环境将决定策略中什么能、什么不能被有效的实施，不过这些因素在建立策略时尽管需要考虑，但它们是不写入策略文档的。在策略中若考虑执行的细节，将因为依赖技术的影响而减少策略的有效性和可用性。策略不必依赖任何具体产品或技术。

    为了提高策略的有效性，一套安全策略必须简单、易读，无论受众是员工、管理员或技术支持人员，策略都必须可读性强、易于理解，以便每个受众可以依据它正确地扮演好自己的角色，将策略应用到日常工作中。一套不好理解的或过于复杂的策略很可能受到冷遇，甚至被束之高阁，落满灰尘，实际工作依然是老样子，这一类策略是指一系列简单的、上级管理人员关注的直接陈述。

    安全策略是管理控制体系中的一部分，它的适用范围由范围定义说明，且该适应范围定义先于安全策略开发而确定。在适应范围定义之后，接下来该做的是举例说明适用的范围和需求定义，以示例说明这些文档内容的作用。这一业务需要反映了安全策略的原则，而且安全策略定义了用于构建计算机、网络和数据存储基础设施的各项事宜，整个方案说明了开始该做什么，为什么这样做，之后说明这样做、什么时候做，以及其他详细事宜等。