「資訊安全政策」是企業內各種資訊安全活動的重要參考點，包括建立應用系統的控制程序、設定用戶存取控制的權限，組成風險分析模型、資訊安全規定的訓練、及建置電腦犯罪的稽核體系等等。

有些人以為資訊安全是「人」的問題，有些人則說是科技問題。從企業管理的角度來看，二者都對。但是在從事資訊安全工作之前，管理階層必須全面參予，才能達成這項任務。所以資訊安全基本上是一個管理問題；說得更精確一點，高階主管的全力支持，才是資訊安全能否成功的關鍵因素。沒有他們的支持，就不會有足夠的預算，也就沒有人會去注意；而預算不足就無法大力改革管制措施，同時容易產生許多原先可避免的系統漏洞，進而提供駭客更多入侵的機會，造成企業無可彌補的損失。

想要讓高層主管支持資訊安全措施，而且讓他們注意到這個問題，進而親身參與，最好的方式就是制訂資訊安全政策。資訊安全政策當然需要經過高層主管的檢討、批准。事實上，這些主管最初之所以會參與資訊安全的事務，常常是因為需要制訂政策的關係。
...
...