Некоторые различия между политикой и стратегией информационной безопасности:

• Уровень документа: стратегия информационной безопасности (ИБ) — это высокоуровневый документ, который определяет развитие комплексной системы ИБ в организации на несколько лет вперёд. 2 Политика ИБ — это комплекс утверждённых принципов и практических мер, касающихся защиты информационных активов организации. 1
• Цель: главная цель стратегии ИБ — предвидеть все возможные риски и создать надёжную систему защиты от них. 1 Политика ИБ создаёт чёткие правила, которые помогают защитить информационные активы и снизить уязвимость организации перед актуальными угрозами. 4
• Динамичность: стратегия ИБ является динамичной, то есть может дополняться. 45 Политика ИБ, как правило, разрабатывается в соответствии с положениями российских и международных стандартов, а также передовых практик и не подлежит изменениям. 4
• Содержание: стратегия ИБ должна отражать позицию руководства организации в вопросах обеспечения ИБ и определять цели, задачи и общие принципы, в соответствии с которыми будет строиться комплексная система ИБ. 2 Политика ИБ определяет стратегию и тактику построения системы защиты информации: стратегическая часть связана со стратегией развития бизнеса компании и развитием её IT-стратегии, а тактическая часть подробно описывает правила безопасности. 3