Определение политики безопасности для системы

Большая часть литературы по безопасности говорит о важности определения политики безопасности прежде, чем запуститься к тренировке на механизмах и реализации. В то время как это кажется логичным, довольно неясно относительно того, что действительно означает определение политики безопасности.

Имеет у любого здесь был любой опыт в определении политики безопасности, и раз так:

1) Каков результат такого определения? Форма такой политики, для говорят, что распределенная система, документ, содержащий серию операторов на требованиях к защите (что позволяется и что не) системы?

2) Политика может принять машиночитаемую форму (если это имеет смысл), и раз так как это может использоваться?

3) Как каждый поддерживает такую политику? Политика сохраняется как документация (как со всей остальной частью документации) в системе?

4) Необходимо, чтобы сделать ссылки на программный документ в коде?

Brian