出色的安全策略应该满足企业需求，切实可行并且切合实际。有七个必要元素，帮助你定义安全政策的主题、范围、责任和一致性需求。

　　易于理解

　　安全政策适应既定用户的需求很重要，他们是一般用户的代表。通常政策、标准和流程由专家撰写，材料是大学级别的，但应该能够被一般读者理解。例如，一个安全政策写到，“及时打补丁对维持IT系统的可操作性、机密性和完整性很重要。”这比另一种说法要易于理解的多，“Hotfix Checker是一个命令行工具，用于监测Windows NT 4.0 、Windows 2000, 以及Internet Explorer 5.01以上版本的修补程序的状态。”

　　可用性

　　当制订政策时，一些作者会参考其他组织的安全政策，例如互联网政策，并且完全照搬。然而，确保所借鉴的政策适应组织的特殊需求是很重要的。（例如，你的组织需要对文件下载进行限制。）

　　可实施性

　　不要撰写弄巧成拙的政策。一个政策宣称，“公司提供的电子邮件系统只用于商务用途。”对大多数公司，这项规则都是政策之一，但是几乎所有电子邮件用户还将其用于收发私人信息。一个更好的政策是，“公司提供的电子邮件系统只用于通过许可的功能，”这既划定了范围，也满足了商务需求。

　　逐步采用

　　在生效前允许公司了解和消化政策是必需的。许多公司发布安全政策，然后要求每个商务单位在发布后指定的时间内提交一致性计划。这种方法很好。商务单元经理有一段时间回顾政策，测定公司的不足之处，然后提交执行的时间表。它为部署技术和培训员工留出了充裕的时间。这些一致性计划可以形成文件，用于审核。

　　主动性

　　声明可以做什么和对雇员的期望是什么比宣布“你不能……！”好的多。例如，政策宣称“只有授权的金融系统用户才可以使用这个计算机系统，未经授权的访问将被调查甚至起诉。”

　　避免绝对化

　　绝不要说“绝不”。用外交和政治的方式来描述。讨论违规制裁时，避免说“违反这项政策的员工将被解雇而不需事先警告。”不绝对的温和的方式会增加回旋余地。例如，“违反这项安全政策的员工将被认为有违员工行为标准，公司会对此进行调查，采取适当的规范措施，包括解雇。”

　　可行性

　　如果执行政策，公司和员工还能达到商务目标吗？许多公司认为他们制订了安全政策的终结版，却发现他的条例将商务任务置于危险境地。你应该记住，尽管一些控制（例如，双重认证、运行和升级防火墙软件）有助于公司将风险降低到可接受的程度，百分百的安全意味着百分之零的生产力。只要控制或政策影响到公司的商务目标或任务，那么控制和政策就是失败的；安全政策是为支持商务而生，而不是相反。

　　制订政策的底线是简单。美国报纸销量第一的是USA Today。为什么？因为文章简短，语言精练。制订政策时，使用报纸“McNews”的模式，集中并达成公司的政策目标。把冗长、复杂的讨论用于你的网络安全学术论文吧。