企業(yè)在建立ISO27001信息安全管理體系中的信息安全策略在解決組織信息安全問題具有十分 重要的地位。在一個大的企業(yè)中，信息安全策略的制定者可能是由一個多方人員組成的小組，而在一個中小企業(yè)中，信息安全策略的制定者一般是組織的技術(shù)管理者。信息安全策略定義了一個框架，用以保護組織的信息資產(chǎn)。安全策略是所有保護措施的基礎(chǔ)，它是對整個企業(yè)優(yōu)先權(quán)的描述，明確了驅(qū)動安全活動的基本假設(shè)。 信息安全策略是一組規(guī)則，它們定義了一個組織要實現(xiàn)的安全目標和實現(xiàn)這些安全目標的途徑。這些規(guī)則表明了企業(yè)高級管理者關(guān)于信息安全的決定和管理者對信息 安全的承諾。

　　基于信息安全策略所做出的與安全相關(guān)的決定，應(yīng)該提供一個高層次 的原則性觀點，在范圍上是全面的。信息安全策略的內(nèi)容不涉及具體做什么和如何做的問題，與技術(shù)方案相比，信息安全策略只是描述一個組織保證信息安全的途徑 的指導(dǎo)性文件，只需指出在信息安全管理方面要完成的目標。信息安全策略對于整個組織提供全局性指導(dǎo)，為具體的安全措施和規(guī)定提供一個全局性框架。

　　信息安全策略的制定者綜合風(fēng)險評估、信息對業(yè)務(wù)的重要性，考慮組織所遵從的安全標準，中小企業(yè)的信息安全策略主要需要考慮以下具體策略：

　　1.使用策略——描述設(shè)備使用、計算機服務(wù)使用和內(nèi)部員工安全規(guī)定、以保護企業(yè)的信息和資源安全。

　　2.加密策略——描述企業(yè)對數(shù)據(jù)加密的安全要求。

　　3.訪問策略——定義訪問權(quán)力，指定用戶、工作團體和管理者可接受的使用準則，以便從失敗或者泄密中保護資產(chǎn)。它應(yīng)該提供指導(dǎo)性的原則，用以指導(dǎo)外部連接、數(shù)據(jù)通信、向網(wǎng)絡(luò)中連接設(shè)備和向系統(tǒng)中添加新的軟件。它還需要指明任何需要通知的信息。

　　4.職責(zé)策略——定義用戶、工作團體和管理者的職責(zé)。它應(yīng)該規(guī)定審計能力并提供事故處理準則(也就是說，如果檢測到一個可能的入侵的話，需要做什么以及聯(lián)系誰)。

　　5.線路連接策略——描述諸例如傳真發(fā)送和接收、模擬線路與計算機的連接、撥號連接等安全要求。

　　6.反病毒策略——給出有效減少計算機病毒對企業(yè)的信息安全威脅的一些指導(dǎo)方針，明確在哪些環(huán)節(jié)必須進行病毒檢測。

　　7.審計策略——描述信息安全審計要求，包括審計小組的人員組成、權(quán)限、事故調(diào)查、信息安全風(fēng)險估計、信息安全策略符合程度評價、對用戶和系統(tǒng)活動進行監(jiān)控等活動的要求。

　　8.敏感信息策略——對于組織的機密信息進行分級，按照它們的敏感度描述安全要求。

　　9.電子郵件使用策略——描述組織內(nèi)部和外部電子郵件接收、傳遞的安全要求。

　　10.數(shù)據(jù)庫策略——描述信息的存儲、檢索、更新等管理數(shù)據(jù)庫數(shù)據(jù)的安全要求。

　　11.內(nèi)部策略——描述對組織內(nèi)部的各種活動信息安全的要求，使組織的產(chǎn)品、服務(wù)和利益受到充分保護。

　　12.互聯(lián)網(wǎng)接入策略——定義在組織防火墻之外的設(shè)備和操作的安全要求。

　　13.遠程訪問策略——定義從組織外部計算機或者網(wǎng)絡(luò)連接到組織內(nèi)部網(wǎng)絡(luò)進行外部訪問的安全要求。

　　14.口令防護策略——定義創(chuàng)建、保護和改變口令的要求。

　　15.路由器安全策略——定義組織內(nèi)部路由器與交換機的最低安全配置要求。

　　16.服務(wù)器安全策略——定義組織內(nèi)部的服務(wù)器的最低安全配置要求。

　　必須要意識到制定和落實信息安全策略是一個長期、艱苦的工作，需要付出艱苦的努力，并且由于牽扯到信息系統(tǒng)許多部門和絕大多數(shù)人員，可能需要改變工作方式和 流程，所以推行起來的阻力會相當(dāng)大。同時信息安全策略本身存在的缺陷，包括不切實可行，太過復(fù)雜和繁瑣，部分規(guī)定有缺陷等等，都會導(dǎo)致整體策略難以落實。