「资讯安全政策」是企业内各种资讯安全活动的重要参考点，包括建立应用系统的控制程序、设定用户存取控制的权限，组成风险分析模型、资讯安全规定的训练、及建置电脑犯罪的稽核体系等等。

有些人以为资讯安全是「人」的问题，有些人则说是科技问题。从企业管理的角度来看，二者都对。但是在从事资讯安全工作之前，管理阶层必须全面参予，才能达成这项任务。所以资讯安全基本上是一个管理问题；说得更精确一点，高阶主管的全力支持，才是资讯安全能否成功的关键因素。没有他们的支持，就不会有足够的预算，也就没有人会去注意；而预算不足就无法大力改革管制措施，同时容易产生许多原先可避免的系统漏洞，进而提供骇客更多入侵的机会，造成企业无可弥补的损失。

想要让高层主管支持资讯安全措施，而且让他们注意到这个问题，进而亲身参与，最好的方式就是制订资讯安全政策。资讯安全政策当然需要经过高层主管的检讨、批准。事实上，这些主管最初之所以会参与资讯安全的事务，常常是因为需要制订政策的关系。

无论企业规模大小及行业为何，或者电脑化的程度多彻底，都应该提出一套明晰的政策，处理资讯安全的议题。 IBM前资料安全计画主任Harry DeMaio便认为，一个含糊笼统的资讯安全政策，是大部分企业资讯安全工作最大的弱点。

由英国标准协会( BSI )制定的 BS7799，它广泛地涵盖了所有的安全议题，可以适用于各种产业与组织，是一个非常详尽甚至有些复杂的资讯安全标准。包含了所有面向的最先进企业资讯安全管理，从安全政策的拟定、安全责任的归属、风险的评估、到定义与强化安全参数及存取控制，甚至包含防毒的相关的策略等。

然而在企业内「资讯安全政策」制定后，仍需适当的宣导及持续的教育训练。一来可以大幅减少资讯安全问题造成的损失，另一方面也可以加速新系统的开发速度，节省开发成本；更重要的是，执行该政策能让企业的资讯系统控制与存取一致，避免发生因人制事的情形。

我们认为，一个有效的资讯安全政策，绝非拿别人的东西一字不改，就直接要主管盖橡皮章通过实施。而是要因应每一个组织的需要，设计出适合该组织的资讯安全政策。因为每家公司的状况不一样，使得影响资讯安全政策的因素南辕北辙。这些因素包括经营目标、法律需求，企业组织架构、企业文化、企业伦理、企业精神、企业同仁教育及接受程度，和公司目前的技术水平。

「资讯安全政策」对于企业的影响既深且广，为了让企业能充分、安全地享受资讯所带来的便利，高层主管支持、适当的宣导及持续的教育训练皆是落实资讯安全工作不可或缺的重要环节。