依据GB/T 22080-2016，须管理层批准、定期评审的信息安全策略包括（）。

GB/T 22081-2016标准5.1.1信息安全策略

在较低层面，该信息安全策略宜由特定主题的策略予以支持，这些策略进一步强制性地规定了信息安全控制的实现，并通常是结构化的；以强调组织内某些目标群体需求或涵盖某些主题。例如，这样的策略主题包括：

a）访问控制（见第9章）；

b）信息分级（和处理）（见8.2）；

c）物理和环境安全（见第1章）；

d）面向终端用户的策略，如：

1）资产的可接受使用（见8.1.3）；

2）桌面和屏幕的清理（见11.2.9）；

3）信息传输（见13.2.1）；

4）移动设备和远程工作（见6.2）；

5）软件安装及其使用限制（见12.6.2）

e）备份（见12.3）；

f）信息传输（见13.2）；

g）恶意软件防范（见12.2）；

h）技术脆弱性管理（见12.6.1）；

i）密码控制（见第10章）；

j）通信安全（见第13章）；

k）隐私及其个人可识别信息的保护（见18.1，4）；

L）供应商关系（见第15章）。