好的，所以这最初是为了评论您对@jl01 给出的答案的回复，但它变得太长了，它本身应该有优点......

制定政策几乎是一门艺术。理想情况下（尽管我确信有些人会不同意我的观点）政策将是关于该主题的非常笼统的陈述。例如，不会比“这家公司将使用当前的系统补丁最佳实践运营”更复杂的事情。这个想法是应该建立一个政策并且不需要改变（如果做得很好）。它应该足够概括，以至于不需要随着不同的技术、攻击向量、法规等的变化而更新。

将策略拆分为每个单独的业务/技术领域是很常见的。这有助于制定更适合您公司的定制政策，并允许您在参考这些政策时保持清晰。

另一种思考方式是，政策是企业掩盖其后端的方式。它的创建是为了尽可能多地覆盖，因此如果出现问题，公司可以在仍然使用相同的政策的同时塑造他们对每种不同情况的反应。

这些政策将通过程序、指南和法规进行扩展（想想看，这应该与 SAN 的描述方式相当接近）。我相信 SAN 将我所说的“程序”称为“标准”。我为因此造成的任何混乱道歉。

程序将是遵循政策的实际做法（我看到的许多政策似乎都指的是政策本身内的适用程序）。

另一方面，指导方针正是可接受的做法的建议。虽然它们只是建议，但不能掉以轻心。当审计发生时，这些是审计员可以抓住的低悬的果实。

随着不断变化的商业环境、环境问题、威胁等，程序和指南是您唯一需要更新的内容。

当我设计我的第一组策略时，假设这是来自有关信息安全策略的课程，我设置了这些不同的策略：

• 信息敏感政策
• 外联网政策
• 电子邮件政策
• 可移动媒体政策
• 密码政策
• 安全监控政策
• 路由器安全策略
• 服务器安全策略
• 系统更新政策
• ASP 政策
• 服务器管理策略
• 安全培训政策

这不是一个详尽的清单，但它应该让您了解可能发生的一些故障。政策的划分方式取决于该公司的需求。

最后但并非最不重要的一点是，每项政策的创建方式都应使人们对它的应用内容和方式存在疑问。我的意思是，与每项政策一起，应该建立有关该政策的目的、范围、执行和定义。我总是很高兴输入“将受到影响直至并包括终止”这句话。

虽然我之前没有列出它，但道德政策应该包含在每个政策集中。即使在使用 ASP 或与此相关的任何服务时，最好请求他们的道德政策，并且根据您所看到的，通过合同要求他们遵守贵公司的该工作的道德政策。

所以，我可能对这个主题有点太过分了......但我希望它有所帮助。

免责声明：我非常清楚这不是构建策略的唯一方式。根据我的经验，大多数公司都有一套经过多年监管变化和合规问题松散构建的政策。

ps 一个 ASP 是一个应用程序服务提供商，我看到我没有在上面任何地方提到它的定义。

我的建议听起来很简单，但我相信这是您的网络中目前发生的大多数未经授权和未被发现的活动的原因。不要只做政策，做工作！研究并实施 20 大关键控制，http://www.sans.org/critical-security-controls/。

我们有很多人制定政策，我们没有足够的人来执行这些政策，比如密码控制、了解网络上的所有设备和软件以及为您的系统建立基线等简单的事情。

SANS 有一门课程，面向系统管理员的黑客检测，它将在 12 小时的课堂时间内教给您所有需要了解的基础知识。课程符合前 20 名关键控制。在我的回答中，我不适合做更多的事情来宣传这门课程，但是如果您有兴趣了解更多信息，请给我发送电子邮件至 sweil@sans.org。

Scott Weil SANS 研究所

查看http://www.sans.org/security-resources/policies/了解一些很棒的示例策略。应该是一个很好的起点。

在为许多组织创建策略和标准时，我必须添加的唯一明显区别是我通常期望层级；例如，策略是高级别的，具有描述特定技术或产品的标准，然后是详细说明如何创建符合标准的服务器的构建或配置文档。政策应支持并由业务需求驱动。构建文档应该由 IT 编写，并提供来自安全部门的反馈和输入。