安全策略旨在提供三大作用：一是保护数据、客户、员工和技术系统；二是定义公司在安全方面的立场；三是尽量减小公司内外的风险，并且万一出现泄密后，尽量减小给公众留下的不利影响。制订及发布安全策略不仅仅是个好主意，美国的有关法律还规定公司必须这么做，这些法规包括支付卡行业数据安全标准（PCI）、《健康保险可携性及责任性法案》（HIPAA）以及《联邦信息安全管理法案》（FISMA）等。

    但企业在编写及实施安全策略时，通常会犯以下五个基本错误。尽管其中一些错误听上去很可笑，但它们还是会频频发生，这会给许多企业带来重大影响。

    错误一：没有制订安全策略

    这是一个最大的基本错误。实际情况是，很多企业根本没有任何安全策略，有的只是制订了“含蓄策略”——所谓的“含蓄策略”指虽然经过管理班子的正式讨论，但是没有正式成文，也没有发布给任何人。

    这种粗心大意的做法不但留下了安全弱点，企业还有可能违反了法律要求，因为有些法规明确要求公司合理编写及发布安全策略。

    当然，一旦策略正式制订完毕，企业常常会发现自己的系统在很多地方都违反了策略。这没有什么好奇怪的，这表明安全策略并不是完全围绕当前的IT运营标准来制订的。这就意味着，除了安全策略外，公司还必须把当前系统存在的缺陷记入文档，并且评估改正这些缺陷以便让系统符合新策略要求所需的成本。

    错误二：没有更新安全策略

    假设你没有犯前面第一个错误，就要留意这个关键的第二点了：单单拥有精心编写的安全策略还不足以改善安全状况。

    公司网络和业务流程将来会出现一些变动，这是不可避免的。安全风险和法规遵从要求也会发生变化。所以，随着安全威胁和企业环境不断变化，安全策略也要随之变化。

    更新安全策略的理由有：部署了新技术（或者处置过期的软件或硬件）；出现新的法规要求或者法规要求内容有所更新；公司不断发展；企业合并或重组给系统带来了新的数据和用户；出现了新的业务系列或者商业惯例……实际上，只要公司安全策略保护的各环节出现了任何变化，都要更新安全策略。

    如果出现诸如此类的变化后，公司却没有定期评估及更新安全策略，它们的威胁状况就有可能出现门户大开的情况，成了安全方面容易遭到攻击的对象；就算拥有“全新”的安全策略文档，也是如此。

    错误三：没有跟踪执行情况

    如果你已经落实了安全策略，并且定期更新了策略，这表明你已往理想的安全策略迈出了重要的两步。但你还是会犯其他错误！