定義策略框架

收集完上面所提到的參考材料以后，應當編輯一個列表，它應包括新的和更為全面的信息安全策略文檔所涉及的主題。該列表的初稿應當包括那些會被立即采用和以后采用的策略。在大多數情況下，該表的詳細等級也許是不一致的， 但在此階段將不會在意這一因素。例如，該表也許包括遠程交換和最小10個字符的密碼結構。當高級的大綱準備好以后，就應當使細節等級標準化。如果想知道更多的信息，請看下一節“制定一個覆蓋矩陣表”。

接著應當嘗試定義機構信息安全策略的表示方法。例如，策略也許應當用標準操作過程手冊來代替。另一件需要做的事是，信息安全部門的負責人應當定期地發布總結策略的電子郵件備忘錄，把隱私策略發到網上是很常見的事。由于許多人通過各種通信渠道對工作人員進行攻擊，所以信息安全策略通過多種通信渠道被多次發送是很有必要的。用來表示策略的渠道將決定策略被怎樣制定。例如，如果使用錄像帶，那么將使用簡化的通俗方式，而如果策略文檔被放在企業內部網Web服務器上，那么使用更多的圖形和超文本連接方式則是比較恰當的方式。

應當檢查機構信息安全策略當前使用的方式或準備使用的方式。這些策略可以用于指導信息系統的獲取工作，推動信息技術審計計劃，指導用戶安全地操作桌面計算機等等。定義策略的使用將會有助于弄清這些策略主要面向哪一些人員，詳細內容將在下一節“制定一個覆蓋矩陣”中介紹。

策略的使用要著重關注那些最需要解決的領域。當分配完策略文檔以后，其他的用戶不久就會明白此點。不應把這看成很差的計劃，而應當認為它具有成功的主動性，它將對機構產生意料之外的作用。在一些實際的例子中，策略文檔的使用方式在最初也許是未知的，但通過一系列的集會，就能很快識別出有關的利益各方。