A . 信息安全策略（或者方针）是由组织的最高管理者正式制订和发布的描述企业信息安全目标和方向，用于指导信息安全管理体系的建立和实施过程
B . 策略应有一个属主，负责按复查程序维护和复查该策略
C . 安全策略的内容包括管理层对信息安全目标和原则的声明和承诺；
D . 安全策略一旦建立和发布，则不可变更