信息系统安全策略是指对（本单位）信息系统的安全风险（安全威胁）进行有效的识别、评估后，所采取的各种措施、手段，以及建立的各种管理制度、规章等。由于事关重大，所以安全策略必须由单位最高领导人授权，全员讨论修订；宣布施行后，任何人不得违反。安全策略的核心内容是“七定”。