分析階段

分析階段應(yīng)包括以下工作：

*一份近期的風(fēng)險(xiǎn)評(píng)估，或記錄機(jī)構(gòu)當(dāng)前信息安全需要的IT審計(jì)表。該風(fēng)險(xiǎn)評(píng)估應(yīng)包含所有損失記錄以及以往的法律訴訟、投訴文檔和由此造成的其他信息安全領(lǐng)域的負(fù)面影響。

*關(guān)鍵參考材料的收集，除了上面所提及的條款，還包括所有現(xiàn)有的策略。有時(shí)，影響信息安全的策略記錄會(huì)存放于人力資源部門以及會(huì)計(jì)、財(cái)務(wù)、法律或公司的安全部門。

根據(jù)Charles Cresson Woocl:

由于一些人受到時(shí)間或資源限制，因而會(huì)嘗試跳過以上所提的數(shù)據(jù)收集過程。無論何時(shí)，只要數(shù)據(jù)收集時(shí)間被大大縮短，管理層拒絕接受由此產(chǎn)生的文檔記錄的可能性就會(huì)增加。管理層的信息安全觀正是通過這樣的數(shù)據(jù)收集過程得以確立——已有的策略、需要增加或修改的策略、管理者如何增強(qiáng)策略、機(jī)構(gòu)所面臨的特殊漏洞，以及其他基本的背景信息。倘若對(duì)背景信息的考慮不夠徹底，那么，新產(chǎn)生的信息安全策略就很難滿足機(jī)構(gòu)的真正需要。