由于各国关于信息安全的立法越来越严格，行业监督机构也越来越关注法律法规的遵守情况。对大公司来说，信息安全政策不再是“锦上添花”的东西，而是“必不可少”的内容。那么，信息安全主管(cso)该如何对自己企业的安全政策进行管理呢?

　　最近，一些媒体报道了许多关于利用电子邮件散布耸人听闻或令人反感的消息所引起的诉讼，其影响不仅限于企业急需制定可实施的信息安全政策一个方面，还说明多数企业在信息安全政策和工作绩效的监控上存在着薄弱环节。

　　很显然，企业必须制定新的信息安全政策，但多数企业没有这样做。英国贸易工业部发布的数字表明，落实了信息安全政策并遵守了《数据保护法》的英国企业只有49%。

　　如果政策未被合理管理并执行，即使制定了政策仍无济于事。制定政策后仅仅将它贴到内联网上，并不是“有效管理”。最近，policymatter进行了一项调研，结果显示，目前只有22%的英国企业征求员工关于遵守政策的意见?这表明，至少有78%的企业并不知道自己公布的政策是否被员工看到，更不用说是否被员工理解了。

　　2003年，全球可能会出台许多新的信息安全法律法规，行业监管部门会更加重视企业是否遵守了相关的法律法规，全球关于信息安全的诉讼数量也将不断增加，这些情形均令人担忧。

　　由于政策管理缺乏“最佳方法”，许多企业求援无门?只好自己想办法落实及审查政策，很多情况下是从所犯错误当中汲取经验教训。

　　policymatter制定了分成五个步骤的计划，希望能对企业有所帮助，并从安全政策的有效管理中获得最大价值。

　　第一个步骤：明确政策需求

　　一家企业颁布的任何政策都应该符合(且应该体现)所有可适用的法律、业务规则、监管需求，而搜集信息是成功的关键。目前，企业根本不缺各类信息，许多信息随处可得，比如从因特网、行业出版物及第三方专业人员处均可以得到丰富的信息，在政策应该包含什么、不该包含什么等因素方面，这些资源都很宝贵。

　　尽管法律内容本身可能长达几百页，但企业需要起草的是对自己重要且相关的内容，制定的政策应该涵盖所有必要的基本面，但又要通俗易懂。力求政策内容面面俱到可能使政策成为一份无法应用的文件。

　　第二个步骤：起草政策

　　目前，起草政策时需要参考的法律数量多得让人畏惧。在英国，《数据保护法》、《调查权力管理法案》、《人权法》、《信息专员业务守则》、bs7799等其他法案都很可能影响政策的起草，更不用说各种行业特定的管理条例了。其他国家也有着类似的情况。

　　重要的一点是，制定的政策应能够体现组织内部的文化。不管谁负责制定或核对政策，都应该确保整套政策的风格和措辞相互一致。此外，政策起草者应该自始至终采用通俗易懂的措辞，尽量避免采用法律行话或毫无必要的专业术语。政策应该能够为受到政策影响的所有人理解，要力求含义明确。

　　在第一次落实政策之前，企业应该考虑是否需要对政策进行专业咨询，是否需要直接与受政策影响的那些人沟通等。