完善的信息系统安全计划是从研究一种安全政策文件开始的，根据此文件为组织机构的财产、名誉等搭建所需的保护基础。2006年，美国计算机安全研究所（CSI）和美国联邦调查局（FBI）进行的计算机犯罪与安全调查显示，63%的人员认为“政策与规章遵从”是今后两年各机构所面临的最严重问题。这也是调查中所陈述的一种不断增长的趋势所在。自1995年以来，美国计算机安全研究所和美国联邦调查局计算机入侵小组每年都会做一次这样的调查。
　　通常情况下，计算机安全政策写完之后便被束之高阁，而得不到执行、实施或维护。在今天，未制定安全政策对于任何组织机构来说是一种法律责任，然而制定了政策却从未执行就应该承担责任。
　　本文探讨了计算机安全政策的周期和实践方法，从而使其能够得以成功地制定、实施、维护和连续执行。与执行管理机构、信息系统用户、安全专业人员及法律顾问们合作是保证成功不可或缺的组成部分。
　　在制定信息系统安全政策时，组织机构所采取的具体活动，作为行动框架的一部分在这里会有论及，本文还将讨论有关如何规划制定安全政策所必须的活动的建议，如何修改、修订现有尚未执行的政策，或需要升级使其符合当前行动和环境。
　　本文大致说明了一个团队该如何努力提升安全政策的使用寿命。另外还列出了大多数组织机构的安全政策内容所涵盖的主题，对每个主题进行了简要描述，以期为制定最佳的安全政策提供帮助。
　　
　　安全政策生命周期
　　
　　Bruce Schneier在《秘密和谎言：网络世界中的数字安全》一书中称“安全是一个过程，而不是一种产品”。Jason Coombs在2004年的一篇文章中谈道，法律程序和业务功能只关心执行，并争辩道：“安全只有在进行分析时是一种过程，在实际执行当中，安全不是一种过程，是一种服务。”不论是哪种情形，安全都必须适应其环境，这种适应性就是安全政策的生命周期。
　　安全政策的生命周期和方法涉及到政策制定、实施、维护和连续执行的每个因素（参见图1）。
　　受安全政策保护的团体以及那些必须支持安全政策的人们成为一个开发政策的“贡献者团队”，并且将维持政策的运行。
　　根据环境的不同修改和剪裁生命周期模式非常重要，因为组织结构常常反映了各个群体是如何一起工作和操作的。安全政策既是关于“人”的文件，又是关于“系统”的文件，它是一个关于人和系统如何组织和管理的产品。
　　组织机构的安全政策必须与现有的公司或执行命令，以及人员操作指南、程序及其它组织政策保持一致。安全政策必须反映和支持每个组织机构的：