为了保护自身的数据和维持可靠运作,所有组织都应首先制定自己的安全策略。策略是一组指导决策过程的规则,组织中的领导者能够在策略的指引下自如地分配权限。RFC2196 指出“安全策略是规则的正式表述,获准访问组织的技术和信息资产的用户都必须遵守这一策略”。安全策略可能像网络资源的合理使用规定一样简单,也可能长达数百页,对连接和相关策略的每个方面都做了详细规定。

 
安全策略需满足以下条件:
 
明确用户、职员和管理人员为保护技术和信息资产所必须履行的义务
指出通过哪些机制可以达到这些要求
提供基线,以按照策略获取、配置和审计计算机系统及网络
 
 
在没有指导思想的情况下设立安全策略相当困难。为此,国际标准化组织 (ISO) 和国际电工委员会 (IEC) 发布了称为 ISO/IEC 27002 的安全标准文件。该文件专门针对信息技术制定,其中列出了信息安全管理的实践规范。
 
ISO/IEC 27002 旨在为制定组织安全标准和有效的安全管理实践方面提供通用基础和实践指导原则。该文件包含 12 个部分:
 
风险评估
安全策略
信息安全组织
资产管理
人力资源安全
物理和环境安全
通信和运营管理
访问控制
信息系统采购、开发和维护
信息安全事件管理
业务连续性管理
法规遵从性