正如 Eric 在他的回答中所说，SANS 站点有一套很棒的安全策略模板。英国政府部门 BERR 也撰写了一份出色的文档^[PDF]，为创建安全策略提供了一些很好的结构性建议。

我还可以为您提供以下建议：

• 在创建策略时询问您的员工的意见。他们能否看到可能受到特定规则阻碍的工作领域？他们能想到你忘记的事情吗？

• 确定您要保护的内容。如果您的答案是“网络”，那么您的思考还不够深入。哪些资产对您很重要？源代码是显而易见的，但 SSL 证书私钥、设计文档、财务信息、采购订单等对您的成功都很重要。

• 安全策略应与使用策略相结合。有些人不喜欢这样，但获得正确的上下文很重要。安全策略本质上归结为用户可以做什么和不能做什么，应该做什么和不应该做什么。用法是对此的重要扩展。

• 安全策略经常陷入不允许的情况。不要忘记包含例外情况，并列出您认为可以接受的事情（例如“在午餐时间浏览半 NSFW 网络漫画/有趣的猫图片网站是可以的，只要您知道它们是有信誉的并且不会执行偷渡式浏览器漏洞利用”）。

• 当可以使用“在合理范围内”子句代替时，不要试图提出详尽的列表。这使您可以根据具体情况处理事情。期望您的员工找到一个良好的平衡，并负责。

• 包括解释为什么制定政策的文本部分。以不同的方式格式化这些部分，例如使用浅色背景，并在文档开头说明这些部分不被视为政策的约束部分。

• 政策是关于人的，所以让它可读。出于所有意图和目的，律师不是人。仅仅因为您的文件是用简单、非正式的语言编写的，并不意味着它不具有法律约束力或严肃性。绝对没有必要在大写字母中使用大量可怕的法律术语，并惊呼“违反安全政策将导致员工被大炮开除到月球上与WILLZYX 和 TOM CRUISE 一起生活”。

• 也许最重要的是，不要写任何你不想同意自己的东西。此外，请自己遵守安全政策。如果工作人员发现您违反了您让他们签署的安全政策，那么您的权限为零，该政策的价值为零。

我强烈建议您查看SANS站点以获取安全策略模板。它们是相当简单的政策，但对你们所有人来说都是一个很好的起点。当我在一所大学工作时，我以这些为起点，一旦我了解了基础知识，我就开始研究其他大学的政策，以便我可以比较和对比他们所拥有的和我所拥有的。一旦你开始与你的同龄人比较，这会让你知道别人对你的期望。

除了Polynomial的出色答案之外，我一直在寻找“预先打包在一个完整的文档或模板中”的解决方案，以获得更一般的政策/覆盖范围，并且到目前为止发现：

• https://www.instantsecuritypolicy.com/products.html
• http://www.information-security-policies.com/
• http://www.myinformationsecuritypolicy.com/collections/all
• http://www.altiusit.com/policies.htm

医疗保健和/或合规重点：

• https://clearwatercompliance.com/
• http://www.complianceforge.com/affordable-it-security-documentation/iso-27002-written-information-security-program

与从一组模板或文档中编译某些内容相比，这些“预先打包在一个文档中”的解决方案可能会提供更短、更容易的实现路径（以服务于紧迫的截止日期）。

我欢迎对任何其他类似来源的评论。如果可能的话，我会将它们添加到上面的列表中。

模板及相关资料合集：

• SANS（如前所述）
• http://www.csoonline.com/article/2123889/identity-access/security-tools-templates-policies.html

以下提供了（大部分）知名组织的正在使用的策略列表：实际使用的一些安全策略在哪里？

（主持人：如果合适，请将此帖子标记为“社区维基”。）