政策（Policies）

-政策框架
利益相关者在制定全面而实用的政策方面发挥着重要作用。因此，必须记住，政策并非仅由管理人员创建。
来源：NIST SP 800-12 R1

以下摘自 The Effective CISSP：安全和风险管理：
政策在战略执行中起着至关重要的作用。政策代表“组织的意图和方向，由其最高管理层正式表达。” (ISO 22301) 它影响人们的行为并指导组织的运营。
根据意图，发布一些政策是为了响应并遵守法律或法规（监管政策），而有些政策可能是谘询性或信息性的。除了意图之外，政策还有一个范围，可以在组织结构、产品或服务、地理位置、信息系统或举措等方面适用於不同的受众或目标。
存在三种常见的安全相关政策类型。程序政策用於创建程序。针对特定问题的政策针对关注的特定问题。特定於系统的政策侧重於系统保护。
政策通常包括目标、范围、角色和职责等基本要素。它可以采用自上而下或自下而上的方法来制定。但是，无论哪种方式，都必须获得批准才能继续；也就是说，在制定政策文件之前，应该批准继续进行。政策文件由政策审批机关批准後公布实施。政策审批机关对後续的合规性负最终责任。

-政策框架