「资讯安全政策」是企业内各种资讯安全活动的重要参考点，包括建立应用系统的控制程序、设定用户存取控制的权限，组成风险分析模型、资讯安全规定的训练、及建置电脑犯罪的稽核体系等等。

有些人以为资讯安全是「人」的问题，有些人则说是科技问题。从企业管理的角度来看，二者都对。但是在从事资讯安全工作之前，管理阶层必须全面参予，才能达成这项任务。所以资讯安全基本上是一个管理问题；说得更精确一点，高阶主管的全力支持，才是资讯安全能否成功的关键因素。没有他们的支持，就不会有足够的预算，也就没有人会去注意；而预算不足就无法大力改革管制措施，同时容易产生许多原先可避免的系统漏洞，进而提供骇客更多入侵的机会，造成企业无可弥补的损失。

想要让高层主管支持资讯安全措施，而且让他们注意到这个问题，进而亲身参与，最好的方式就是制订资讯安全政策。资讯安全政策当然需要经过高层主管的检讨、批准。事实上，这些主管最初之所以会参与资讯安全的事务，常常是因为需要制订政策的关系。
...
...