需要考虑的数据库相关安全政策

·信息分类——为信息贴上公共、内部、机密等标签。

·物理安全——构建，数据中心和服务器的安全。

·财产的删除——服务器，驱动，磁带，和其它财产。

·安全测试和审计——什么，如何，什么时候，以及谁执行的测试，用的什么工具。

·职责的分隔——用户，数据库管理员，安全审计员，以及其它与数据库管理有关的人的角色/职责。

·系统维护——打补丁，系统清理/清楚和中间件的更新。

·系统监控和意外事件的响应——谁，为什么，什么时候，以及如何进行实时监控和记录审计日志，还有为了维护正式的意外响应计划所需要的特殊需求。

·用户授权——添加/删除用户，授予谁，为什么，什么时候，多长时间的管理权限。

我认为这里有几个关键点需要与数据库中心的安全政策相关。首先，如果管理层没有明确表示他们的支持(例如，他们将会接受并强制政策的执行)，你兴许也只能一起放弃这个计划。所以首先要把他们也拉上船。其次，尽可能地把你的政策提到最高级别上，这样你就可以最大化覆盖的部门和系统。最大化规则的数量，你可以真正地实施它。换句话说，如果你可以帮助它，不在你的数据库中发生以上所有的政策，并且在无线网络、存储系统等等中拥有另一套规则。同样，至少也要理解你的企业对解决PCI, GLBA, HIPAA, SOX等问题上的规则上的调整需求。这一点在你有一个依从性或者IT管理委员会来审视和现实安全政策的时候，可以带来最好的帮助。如果你能帮助它的话，你不会想要你自己管理一套政策。

最后，确保你尽可能地以一种可以直接带来最大理解和管理的方式记录你的政策。以下政策中的组成部分对于保证政策的简单性和长期的可管理性是至关重要的。