信息安全策略的內(nèi)容有別于技術(shù)方案，信息安全策略只是描述企業(yè)保證信息安全的途徑的指導(dǎo)性文件，它不涉及具體做什么和如何做的問(wèn)題，只需指出要實(shí)現(xiàn)的目標(biāo)。信息安全策略是原則性的，不涉及具體細(xì)節(jié)，對(duì)于整個(gè)組織提供全局性指導(dǎo)，為具體的安全措施和規(guī)定提供一個(gè)全局性框架。在信息安全策略中不規(guī)定使用什么具體技術(shù)，也不描述技術(shù)配置參數(shù)。信息安全策略的另外一個(gè)特性就是可以被審核，即能夠?qū)ζ髽I(yè)內(nèi)各個(gè)部門信息安全策略的遵守程度給出評(píng)價(jià)。

企業(yè)信息安全策略框架包括安全策略、安全標(biāo)準(zhǔn)及規(guī)范、安全流程和細(xì)則，涉及的要素包括信息管理和信息技術(shù)兩個(gè)方面，以及覆蓋信息系統(tǒng)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層。

安全策略體現(xiàn)企業(yè)管理層對(duì)信息安全的支持和對(duì)安全的期望，為企業(yè)信息安全提出方向和要求。

安全規(guī)范按照安全策略對(duì)管理和技術(shù)方面的要求進(jìn)行細(xì)化、具體化，并形成書面文檔，將安全策略中的原則性要求結(jié)合到企業(yè)的發(fā)展現(xiàn)狀中，具體化到日常的管理實(shí)踐和技術(shù)設(shè)置中。

安全流程確保安全策略的具體落實(shí)，決定著整個(gè)安全策略是否真正得以有效執(zhí)行。