安全政策是一个文档,它描述了:
■公司的一般安全要求
■安全保护对象——软件、硬件、数据
■负责保护这些项目的人
■安全标准及其度量标准,度量标准衡量这些标准在多大程度上适合编写安全政策的一个可以借鉴的好策略就是编写过程像为软件编写功能需求一样。安全政策不应该谈论具体的应用或者解决办法,只需要标明安全目标与现实环境下的安全要求。它也不应该被频繁地更新。
安全政策应该使用单独的文档,它阐明了在特定环境中所要求的安全政策方针。对于公司的不同部门,可以采取不同的方针。这更类似设计文档或者一个程序手册,它们详细记录要保证某级别的安全性所要求的实际操作。