我认为这里有几个关键点需要与数据库中心的安全政策相关。首先，如果管理层没有明确表示他们的支持(例如，他们将会接受并强制政策的执行)，你兴许也只能一起放弃这个计划。所以首先要把他们也拉上船。其次，尽可能地把你的政策提到最高级别上，这样你就可以最大化覆盖的部门和系统。最大化规则的数量，你可以真正地实施它。换句话说，如果你可以帮助它，不在你的数据库中发生以上所有的政策，并且在无线网络、存储系统等等中拥有另一套规则。同样，至少也要理解你的企业对解决PCI, GLBA, HIPAA, SOX等问题上的规则上的调整需求。这一点在你有一个依从性或者IT管理委员会来审视和现实安全政策的时候，可以带来最好的帮助。如果你能帮助它的话，你不会想要你自己管理一套政策。

最后，确保你尽可能地以一种可以直接带来最大理解和管理的方式记录你的政策。以下政策中的组成部分对于保证政策的简单性和长期的可管理性是至关重要的。

·简介——对题目的简单概括，例如加密

·目的——简单列出最高的目标和方针的策略。

·范围——说明覆盖了哪些雇员、部门和数据库系统。

·角色和职责——列出与谁有关，以及要他们支持政策的话，需要他们做什么。

·政策的陈述——你的真正的政策的陈述。你应该对每个主题有一篇陈述。换句话说，为前面列出的你选择使用的每个政策创建一个单独的模版。

·例外情况——强调没有包括在政策里面的人，部门，数据库等。

·过程——政策如何实现和在你的环境内强制执行的详细步骤。你可能会想要参考这个信息，并且把它放在不同的文件中。

·遵循——列出如何衡量是否遵循了这个政策的过程，包括所有涉及的衡量标准。

·制裁——列出当违反了政策时候会发生的事情。这可能包括了第一次违反的时候发生什么事情，第二次违反的时候发生什么事情，以及第三次违反的时候发生什么事情。

·回顾和评估——说明什么时候政策必须检查其准确性、实用性，以及遵循的目的(例如，. SOX, HIPAA, GLBA, PCI等)。

·参考——指出调整代码部分河信息安全标准(ISO/IEC 17799, ITIL, COBIT等)

·相关文档——指出其它政修订——记录针对这个政策文档进行的修改。

·修订——记录针对这个政策文档进行的修改。

·注意事项——最重要的注意事项，贴士等。它可以帮助以后的政策管理和加强。

如果你以正确的方式做完了以上所有内容来构建你的政策，它会在很长一段时间内节省你大量的时间和烦恼，让你的审计员很高兴。良好的回报值得你的努力。

唯学网是国内最具价值的教育培训与互动学习平台，致力于为考生提供第一手的教育资讯与院校教学服务，因此考生如若获知数据库工程师考试报名时间、数据库工程师考试成绩查询、数据库工程师考试试题或其他关于更多数据库工程师考试培训的相关信息，请密切关注唯学网。