「資訊安全政策」是企業內各種資訊安全活動的重要參考點，包括建立應用系統的控制程序、設定用戶存取控制的權限，組成風險分析模型、資訊安全規定的訓練、及建置電腦犯罪的稽核體系等等。

有些人以為資訊安全是「人」的問題，有些人則說是科技問題。從企業管理的角度來看，二者都對。但是在從事資訊安全工作之前，管理階層必須全面參予，才能達成這項任務。所以資訊安全基本上是一個管理問題；說得更精確一點，高階主管的全力支持，才是資訊安全能否成功的關鍵因素。沒有他們的支持，就不會有足夠的預算，也就沒有人會去注意；而預算不足就無法大力改革管制措施，同時容易產生許多原先可避免的系統漏洞，進而提供駭客更多入侵的機會，造成企業無可彌補的損失。

想要讓高層主管支持資訊安全措施，而且讓他們注意到這個問題，進而親身參與，最好的方式就是制訂資訊安全政策。資訊安全政策當然需要經過高層主管的檢討、批准。事實上，這些主管最初之所以會參與資訊安全的事務，常常是因為需要制訂政策的關係。

無論企業規模大小及行業為何，或者電腦化的程度多徹底，都應該提出一套明晰的政策，處理資訊安全的議題。IBM前資料安全計畫主任Harry DeMaio便認為，一個含糊籠統的資訊安全政策，是大部分企業資訊安全工作最大的弱點。

由英國標準協會( BSI )制定的 BS7799，它廣泛地涵蓋了所有的安全議題，可以適用於各種產業與組織，是一個非常詳盡甚至有些複雜的資訊安全標準。包含了所有面向的最先進企業資訊安全管理，從安全政策的擬定、安全責任的歸屬、風險的評估、到定義與強化安全參數及存取控制，甚至包含防毒的相關的策略等。

然而在企業內「資訊安全政策」制定後，仍需適當的宣導及持續的教育訓練。一來可以大幅減少資訊安全問題造成的損失，另一方面也可以加速新系統的開發速度，節省開發成本；更重要的是，執行該政策能讓企業的資訊系統控制與存取一致，避免發生因人制事的情形。

我們認為，一個有效的資訊安全政策，絕非拿別人的東西一字不改，就直接要主管蓋橡皮章通過實施。而是要因應每一個組織的需要，設計出適合該組織的資訊安全政策。因為每家公司的狀況不一樣，使得影響資訊安全政策的因素南轅北轍。這些因素包括經營目標、法律需求，企業組織架構、企業文化、企業倫理、企業精神、企業同仁教育及接受程度，和公司目前的技術水平。

「資訊安全政策」對於企業的影響既深且廣，為了讓企業能充分、安全地享受資訊所帶來的便利，高層主管支持、適當的宣導及持續的教育訓練皆是落實資訊安全工作不可或缺的重要環節。