-政策框架
利益相關者在製定全面而實用的政策方面發揮著重要作用。因此，必須記住，政策並非僅由管理人員創建。
來源：NIST SP 800-12 R1

以下摘自 The Effective CISSP：安全和風險管理：
政策在戰略執行中起著至關重要的作用。政策代表“組織的意圖和方向，由其最高管理層正式表達。” (ISO 22301) 它影響人們的行為並指導組織的運營。
根據意圖，發布一些政策是為了響應並遵守法律或法規（監管政策），而有些政策可能是諮詢性或信息性的。除了意圖之外，政策還有一個範圍，可以在組織結構、產品或服務、地理位置、信息系統或舉措等方面適用於不同的受眾或目標。
存在三種常見的安全相關政策類型。程序政策用於創建程序。針對特定問題的政策針對關注的特定問題。特定於系統的政策側重於系統保護。
政策通常包括目標、範圍、角色和職責等基本要素。它可以採用自上而下或自下而上的方法來製定。但是，無論哪種方式，都必須獲得批准才能繼續；也就是說，在製定政策文件之前，應該批准繼續進行。政策文件由政策審批機關批准後公佈實施。政策審批機關對後續的合規性負最終責任。

-政策框架

參考
. NIST SP 800-12 R1

資料來源： Wentz Wu QOTD-20210820
My Blog: https://choson.lifenet.com.tw/