企業在建立ISO27001信息安全管理體系中的信息安全策略在解決組織信息安全問題具有十分 重要的地位。在一個大的企業中，信息安全策略的制定者可能是由一個多方人員組成的小組，而在一個中小企業中，信息安全策略的制定者一般是組織的技術管理者。信息安全策略定義了一個框架，用以保護組織的信息資產。安全策略是所有保護措施的基礎，它是對整個企業優先權的描述，明確了驅動安全活動的基本假設。 信息安全策略是一組規則，它們定義了一個組織要實現的安全目標和實現這些安全目標的途徑。這些規則表明了企業高級管理者關于信息安全的決定和管理者對信息 安全的承諾。

　　基于信息安全策略所做出的與安全相關的決定，應該提供一個高層次 的原則性觀點，在范圍上是全面的。信息安全策略的內容不涉及具體做什么和如何做的問題，與技術方案相比，信息安全策略只是描述一個組織保證信息安全的途徑 的指導性文件，只需指出在信息安全管理方面要完成的目標。信息安全策略對于整個組織提供全局性指導，為具體的安全措施和規定提供一個全局性框架。

　　信息安全策略的制定者綜合風險評估、信息對業務的重要性，考慮組織所遵從的安全標準，中小企業的信息安全策略主要需要考慮以下具體策略：

　　1.使用策略——描述設備使用、計算機服務使用和內部員工安全規定、以保護企業的信息和資源安全。

　　2.加密策略——描述企業對數據加密的安全要求。

　　3.訪問策略——定義訪問權力，指定用戶、工作團體和管理者可接受的使用準則，以便從失敗或者泄密中保護資產。它應該提供指導性的原則，用以指導外部連接、數據通信、向網絡中連接設備和向系統中添加新的軟件。它還需要指明任何需要通知的信息。

　　4.職責策略——定義用戶、工作團體和管理者的職責。它應該規定審計能力并提供事故處理準則(也就是說，如果檢測到一個可能的入侵的話，需要做什么以及聯系誰)。

　　5.線路連接策略——描述諸例如傳真發送和接收、模擬線路與計算機的連接、撥號連接等安全要求。

　　6.反病毒策略——給出有效減少計算機病毒對企業的信息安全威脅的一些指導方針，明確在哪些環節必須進行病毒檢測。

　　7.審計策略——描述信息安全審計要求，包括審計小組的人員組成、權限、事故調查、信息安全風險估計、信息安全策略符合程度評價、對用戶和系統活動進行監控等活動的要求。

　　8.敏感信息策略——對于組織的機密信息進行分級，按照它們的敏感度描述安全要求。

　　9.電子郵件使用策略——描述組織內部和外部電子郵件接收、傳遞的安全要求。

　　10.數據庫策略——描述信息的存儲、檢索、更新等管理數據庫數據的安全要求。

　　11.內部策略——描述對組織內部的各種活動信息安全的要求，使組織的產品、服務和利益受到充分保護。

　　12.互聯網接入策略——定義在組織防火墻之外的設備和操作的安全要求。

　　13.遠程訪問策略——定義從組織外部計算機或者網絡連接到組織內部網絡進行外部訪問的安全要求。

　　14.口令防護策略——定義創建、保護和改變口令的要求。

　　15.路由器安全策略——定義組織內部路由器與交換機的最低安全配置要求。

　　16.服務器安全策略——定義組織內部的服務器的最低安全配置要求。

　　必須要意識到制定和落實信息安全策略是一個長期、艱苦的工作，需要付出艱苦的努力，并且由于牽扯到信息系統許多部門和絕大多數人員，可能需要改變工作方式和 流程，所以推行起來的阻力會相當大。同時信息安全策略本身存在的缺陷，包括不切實可行，太過復雜和繁瑣，部分規定有缺陷等等，都會導致整體策略難以落實。