信息安全策略是一个组织解决信息安全问题最重要的步骤，也是这个组织整个信息安全体系的基础。信息安全不是天然的需求，而是经历了信息损失之后才有的需求，所以管理对于信息安全是必不可少的。一个组织最主要的管理文件就是信息安全策略，信息安全策略明确规定组织需要保护什么，为什么需要保护和由谁进行保护；没有合理的信息安全策略，再好的信息安全专家和安全工具也没有价值。一个组织的信息安全策略可以反映出这个组织对现实安全威胁和未来安全风险的预期，也可反映出组织内部业务人员和技术人员对安全风险的认识与应对。 组织在制定自己的信息安全策略时，需要参考相关的信息安全标准和相似组织的安全管理经验。本书就从这个角度介绍了信息安全的概念、策略、原则和安全控制，阐述在信息安全管理中需要考虑的问题和解决方法，期望能够有利于读者根据组织的实际隋况制定和推行本组织的信息安全策略。 本书适合作为研究生和本科生信息安全课程的参考资料，也可作为MBA课程的参考资料，本书的内容符合Iso／IECl7799：2000(E)的要求，也可以供信息安全专业从业人员参考。