需要考虑的数据库相关安全政策

·简介——对题目的简单概括，例如加密

·目的——简单列出最高的目标和方针的策略。

·范围——说明覆盖了哪些雇员、部门和数据库系统。

·角色和职责——列出与谁有关，以及要他们支持政策的话，需要他们做什么。

·政策的陈述——你的真正的政策的陈述。你应该对每个主题有一篇陈述。换句话说，为前面列出的你选择使用的每个政策创建一个单独的模版。

·例外情况——强调没有包括在政策里面的人，部门，数据库等。

·过程——政策如何实现和在你的环境内强制执行的详细步骤。你可能会想要参考这个信息，并且把它放在不同的文件中。

·遵循——列出如何衡量是否遵循了这个政策的过程，包括所有涉及的衡量标准。

·制裁——列出当违反了政策时候会发生的事情。这可能包括了第一次违反的时候发生什么事情，第二次违反的时候发生什么事情，以及第三次违反的时候发生什么事情。

·回顾和评估——说明什么时候政策必须检查其准确性、实用性，以及遵循的目的(例如，. SOX, HIPAA, GLBA, PCI等)。

·参考——指出调整代码部分河信息安全标准(ISO/IEC 17799, ITIL, COBIT等)

·相关文档——指出其它政修订——记录针对这个政策文档进行的修改。

·修订——记录针对这个政策文档进行的修改。

·注意事项——最重要的注意事项，贴士等。它可以帮助以后的政策管理和加强。

如果你以正确的方式做完了以上所有内容来构建你的政策，它会在很长一段时间内节省你大量的时间和烦恼，让你的审计员很高兴。良好的回报值得你的努力。