Policy：一个组织级的信息安全策略包含了组织管理层对一个安全项目的目标、评价、责任等属性的指导，还定义了一个组织对信息安全的理解。信息安全策略是简短的，并不来自于技术或解决方案的，并为进一步的基于技术或解决方案的Standard（安全标准）等提供管理层的授权。另外如果组织规模较大，还会制定和部署部门级的安全策略文档，它和组织级的安全策略相类似，但也针对部门的职能进行了进一步的描述和规定。在Official Guide中有关于Policy的示例，有需要的朋友可以参考一下。

Standard：安全标准是支持安全策略实施，并通过规定具体的标准和实施的方向来支持使安全策略能更为有效执行的文档，它规定了强制性的活动、行为、规则和制度等，通常会规定具体的技术手段、产品或解决方案等，并在组织内部整体实施。

Baseline：安全底线和安全标准相类似，也是通过强制性的手段和规定来支持安全策略实施的文档，但安全底线和安全标准不同的地方在于，安全标准更偏重于宏观上要达到或者要实现什么目的，而安全底线则是根据同一类型信息资产中不同子类型的特点分别制定的强制规则，如组织客户端使用的操作系统包括Windows 2000、Windows XP和Windows 2003，要求所有的客户端系统都按照某个厂商某一个版本的反病毒软件，就是安全标准；而Windows 2000/XP/2003分别进行什么安全配置，则是安全底线。

Guideline：安全指导是非强制性的，带有建议性质的安全文档，它通过建议组织及其成员，进行建议的行为或活动，来获得更高的安全级别，或对信息安全有更深入了解。

Procedure：安全流程是通过给组织及其成员提供在操作环境中切实可行并具体的每步操作流程和标准，以达到安全策略、安全标准和安全底线等文档规定要求的文档。

在CISSP Official Guide中，还对每一个安全文档都举出了简单的例子，并对它们进行了比较，建议有时间的朋友分别阅读一下，并仔细对比它们之间的联系和差别。J0ker做了一个图，简单的归纳了这些安全文档的联系，图如下：