通过日志恐怕是跟踪安全策略执行情况最有效的方法。搜集和分析日志数据将有助于了解IT环境中出现的情况。如果一名员工把与工作有关的电子邮件发送到个人账户，或者试图访问不在权限范围之内的数据，或者企业外面的黑客屡次企图登录企业服务器，但都未得逞……这些事件都会一一被记录到日志中。通过日志跟踪用户和系统的活动，并将这些数据与安全策略规定的条文进行对比，这才是客观地评估日常安全策略执行情况的最佳方法。

    错误四：只考虑了技术方面

    假设你避开了上面所述的前三个陷阱，另一个常见错误涉及安全策略的重点。

    如果某项安全策略仅仅包括技术安全（如密码的复杂性、防火墙规则、IPS警报和反病毒软件更新等），而忽视了人员及其活动方面，公司就很容易遭到“软”威胁的攻击。软威胁包括：内部人员滥用权限、个人擅自使用企业的计算资源等。虽然描述技术保护措施，并确保这些技术措施以安全策略为准绳，而不是临时仓促部署很重要，但安全策略必须同时包括“人员、流程和技术”这三个方面。

    另外，日志数据对于这三者之间的平衡关系很重要，因为系统活动（如系统重启动、自动更新及阻止攻击）和用户活动（如日常IT任务和物理安全）都记录在日志当中，可以拿来与安全策略做对照，也可以拿来证明违反还是遵从了安全策略。

    错误五：内容冗长难操作

    简而言之，编写的安全策略要让必须遵守该策略的那些人容易理解。

    如果编写的安全策略满眼是深奥难解的法律术语，而且长达上百页，大多数员工甚至不想了解策略规定的内容，那么，违反策略的情况肯定会随时发生。同样，要是编写的策略过于严格，禁止大多数员工完成日常工作所要做的事情，大多数员工就有可能不遵从这项策略。落实策略之前，需要进行教育工作。因而，一开始就制订内容明确、容易理解的策略，这对将来提高遵从策略的水平有很大的帮助。

    总的来说，安全策略要能够达到预期目的，就必须编写清楚，而且根据需要加以更新。安全策略必须包括技术和非技术方面。最后，还应当监控安全策略的执行情况。