X.509标准中对于证书策略的定义是：A named set of rules that indicates the applicability of a certificate to a applications with common security requirements. 因此，证书策略就是一组安全规则要求，确切的说是适合于一类应用系统的共同的安全需求。

从提供“数字证书”服务的电子认证服务机构的角度来看，证书策略可以体现电子认证服务机构针对特定的数字证书所提供的安全保障情况。电子认证服务机构可以通过制定和编写“证书策略文档”，描述其在证书签发和管理过程中所使用的访问控制措施、物理安全措施、技术控制措施、网络安全措施、审计和评估要求、赔偿和责任等等。