信息安全策略的內容有別于技術方案，信息安全策略只是描述企業保證信息安全的途徑的指導性文件，它不涉及具體做什么和如何做的問題，只需指出要實現的目標。信息安全策略是原則性的，不涉及具體細節，對于整個組織提供全局性指導，為具體的安全措施和規定提供一個全局性框架。在信息安全策略中不規定使用什么具體技術，也不描述技術配置參數。信息安全策略的另外一個特性就是可以被審核，即能夠對企業內各個部門信息安全策略的遵守程度給出評價。

企業信息安全策略框架包括安全策略、安全標準及規范、安全流程和細則，涉及的要素包括信息管理和信息技術兩個方面，以及覆蓋信息系統的物理層、網絡層、系統層和應用層。

安全策略體現企業管理層對信息安全的支持和對安全的期望，為企業信息安全提出方向和要求。

安全規范按照安全策略對管理和技術方面的要求進行細化、具體化，并形成書面文檔，將安全策略中的原則性要求結合到企業的發展現狀中，具體化到日常的管理實踐和技術設置中。

安全流程確保安全策略的具體落實，決定著整個安全策略是否真正得以有效執行。