企業(yè)在建立ISO27001信息安全管理體系中的信息安全策略在解決組織信息安全問題具有十分 重要的地位。在一個(gè)大的企業(yè)中，信息安全策略的制定者可能是由一個(gè)多方人員組成的小組，而在一個(gè)中小企業(yè)中，信息安全策略的制定者一般是組織的技術(shù)管理者。信息安全策略定義了一個(gè)框架，用以保護(hù)組織的信息資產(chǎn)。安全策略是所有保護(hù)措施的基礎(chǔ)，它是對(duì)整個(gè)企業(yè)優(yōu)先權(quán)的描述，明確了驅(qū)動(dòng)安全活動(dòng)的基本假設(shè)。 信息安全策略是一組規(guī)則，它們定義了一個(gè)組織要實(shí)現(xiàn)的安全目標(biāo)和實(shí)現(xiàn)這些安全目標(biāo)的途徑。這些規(guī)則表明了企業(yè)高級(jí)管理者關(guān)于信息安全的決定和管理者對(duì)信息 安全的承諾。

　　基于信息安全策略所做出的與安全相關(guān)的決定，應(yīng)該提供一個(gè)高層次 的原則性觀點(diǎn)，在范圍上是全面的。信息安全策略的內(nèi)容不涉及具體做什么和如何做的問題，與技術(shù)方案相比，信息安全策略只是描述一個(gè)組織保證信息安全的途徑 的指導(dǎo)性文件，只需指出在信息安全管理方面要完成的目標(biāo)。信息安全策略對(duì)于整個(gè)組織提供全局性指導(dǎo)，為具體的安全措施和規(guī)定提供一個(gè)全局性框架。

　　信息安全策略的制定者綜合風(fēng)險(xiǎn)評(píng)估、信息對(duì)業(yè)務(wù)的重要性，考慮組織所遵從的安全標(biāo)準(zhǔn)，中小企業(yè)的信息安全策略主要需要考慮以下具體策略：

　　1.使用策略——描述設(shè)備使用、計(jì)算機(jī)服務(wù)使用和內(nèi)部員工安全規(guī)定、以保護(hù)企業(yè)的信息和資源安全。

　　2.加密策略——描述企業(yè)對(duì)數(shù)據(jù)加密的安全要求。

　　3.訪問策略——定義訪問權(quán)力，指定用戶、工作團(tuán)體和管理者可接受的使用準(zhǔn)則，以便從失敗或者泄密中保護(hù)資產(chǎn)。它應(yīng)該提供指導(dǎo)性的原則，用以指導(dǎo)外部連接、數(shù)據(jù)通信、向網(wǎng)絡(luò)中連接設(shè)備和向系統(tǒng)中添加新的軟件。它還需要指明任何需要通知的信息。

　　4.職責(zé)策略——定義用戶、工作團(tuán)體和管理者的職責(zé)。它應(yīng)該規(guī)定審計(jì)能力并提供事故處理準(zhǔn)則(也就是說，如果檢測(cè)到一個(gè)可能的入侵的話，需要做什么以及聯(lián)系誰)。

　　5.線路連接策略——描述諸例如傳真發(fā)送和接收、模擬線路與計(jì)算機(jī)的連接、撥號(hào)連接等安全要求。

　　6.反病毒策略——給出有效減少計(jì)算機(jī)病毒對(duì)企業(yè)的信息安全威脅的一些指導(dǎo)方針，明確在哪些環(huán)節(jié)必須進(jìn)行病毒檢測(cè)。

　　7.審計(jì)策略——描述信息安全審計(jì)要求，包括審計(jì)小組的人員組成、權(quán)限、事故調(diào)查、信息安全風(fēng)險(xiǎn)估計(jì)、信息安全策略符合程度評(píng)價(jià)、對(duì)用戶和系統(tǒng)活動(dòng)進(jìn)行監(jiān)控等活動(dòng)的要求。

　　8.敏感信息策略——對(duì)于組織的機(jī)密信息進(jìn)行分級(jí)，按照它們的敏感度描述安全要求。

　　9.電子郵件使用策略——描述組織內(nèi)部和外部電子郵件接收、傳遞的安全要求。

　　10.數(shù)據(jù)庫策略——描述信息的存儲(chǔ)、檢索、更新等管理數(shù)據(jù)庫數(shù)據(jù)的安全要求。

　　11.內(nèi)部策略——描述對(duì)組織內(nèi)部的各種活動(dòng)信息安全的要求，使組織的產(chǎn)品、服務(wù)和利益受到充分保護(hù)。

　　12.互聯(lián)網(wǎng)接入策略——定義在組織防火墻之外的設(shè)備和操作的安全要求。

　　13.遠(yuǎn)程訪問策略——定義從組織外部計(jì)算機(jī)或者網(wǎng)絡(luò)連接到組織內(nèi)部網(wǎng)絡(luò)進(jìn)行外部訪問的安全要求。

　　14.口令防護(hù)策略——定義創(chuàng)建、保護(hù)和改變口令的要求。

　　15.路由器安全策略——定義組織內(nèi)部路由器與交換機(jī)的最低安全配置要求。

　　16.服務(wù)器安全策略——定義組織內(nèi)部的服務(wù)器的最低安全配置要求。

　　必須要意識(shí)到制定和落實(shí)信息安全策略是一個(gè)長(zhǎng)期、艱苦的工作，需要付出艱苦的努力，并且由于牽扯到信息系統(tǒng)許多部門和絕大多數(shù)人員，可能需要改變工作方式和 流程，所以推行起來的阻力會(huì)相當(dāng)大。同時(shí)信息安全策略本身存在的缺陷，包括不切實(shí)可行，太過復(fù)雜和繁瑣，部分規(guī)定有缺陷等等，都會(huì)導(dǎo)致整體策略難以落實(shí)。