最后，确保你尽可能地以一种可以直接带来最大理解和管理的方式记录你的政策。以下政策中的组成部分对于保证政策的简单性和长期的可管理性是至关重要的。

　　·简介——对题目的简单概括，例如加密

　　·目的——简单列出最高的目标和方针的策略。

　　·范围——说明覆盖了哪些雇员、部门和数据库系统。

　　·角色和职责——列出与谁有关，以及要他们支持政策的话，需要他们做什么。

　　·政策的陈述——你的真正的政策的陈述。你应该对每个主题有一篇陈述。换句话说，为前面列出的你选择使用的每个政策创建一个单独的模版。

　　·例外情况——强调没有包括在政策里面的人，部门，数据库等。

　　·过程——政策如何实现和在你的环境内强制执行的详细步骤。你可能会想要参考这个信息，并且把它放在不同的文件中。

　　·遵循——列出如何衡量是否遵循了这个政策的过程，包括所有涉及的衡量标准。

　　·制裁——列出当违反了政策时候会发生的事情。这可能包括了第一次违反的时候发生什么事情，第二次违反的时候发生什么事情，以及第三次违反的时候发生什么事情。

　　·回顾和评估——说明什么时候政策必须检查其准确性、实用性，以及遵循的目的(例如，. SOX, HIPAA, GLBA, PCI等)。

　　·参考——指出调整代码部分河信息安全标准(ISO/IEC 17799, ITIL, COBIT等)

　　·相关文档——指出其它政修订——记录针对这个政策文档进行的修改。

　　·修订——记录针对这个政策文档进行的修改。

　　·注意事项——最重要的注意事项，贴士等。它可以帮助以后的政策管理和加强。

　　如果你以正确的方式做完了以上所有内容来构建你的政策，它会在很长一段时间内节省你大量的时间和烦恼，让你的审计员很高兴。良好的回报值得你的努力。