Differenza tra una "Politica di sicurezza delle informazioni" e una "Strategia di sicurezza informatica"?

Esiste un'enorme differenza tra "Politica di sicurezza delle informazioni" e "Strategia di sicurezza informatica". Come suggerisce il nome, sono rispettivamente politiche e strategie e il management spesso si confonde tra i due. Tuttavia, credo che i seguenti punti aiuteranno a spiegare la differenza.

Una politica di sicurezza delle informazioni è un singolo documento che:

1. Enumera gli elementi che costituiscono la sicurezza IT o la sicurezza delle informazioni.

2. Spiega la necessità della sicurezza IT.

3. Categorizza i vari tipi di dati IT, ovvero apparecchiature e processi soggetti a questa norma.

4. Indicare, a grandi linee, le responsabilità di sicurezza delle informazioni dei vari ruoli in cui ciascun membro dell'organizzazione può funzionare.

5. Indica livelli appropriati di sicurezza attraverso standard e linee guida.

Dove la strategia di sicurezza informatica includerà, ma non limitato a

1. Politica di sicurezza delle informazioni

2. Politica sulla sensibilità delle informazioni

3. Piani di risposta agli incidenti e di disaster recovery

4. Cambia procedura di controllo

5. Standard di configurazione

6. Molte altre politiche, linee guida, standard ecc. che collettivamente contribuiranno a far sì che l'organizzazione anticipi / risponda a una minaccia / incidente di Cybersecurity.

Capisco che alcuni degli elementi saranno evidenziati nella politica di sicurezza delle informazioni, ma guardando l'immagine più grande non tutto sarà coperto. Spero che questo aiuti in ogni caso.

La sicurezza delle informazioni abbraccia persone, processi e tecnologia. In considera tutti gli aspetti della sicurezza delle informazioni compresa la politica di scrivania pulita, fisica e altri aspetti. Informaci su un sottoinsieme della sicurezza delle informazioni incentrato sugli aspetti digitali. Mescoliamo i due ma c'è una differenza