制定一個覆蓋矩陣

制定好需要關(guān)注領(lǐng)域的_張大致列表，在逐漸熟悉機構(gòu)對策略的表示方式以及使用方式以后，就可以使用指南中找到的策略。這時應(yīng)當(dāng)評估所涉及到的附加主題，評審策略標(biāo)題以及策略本身并跳過附隨的注解。這項工作一般通過使用指南副本和標(biāo)記（諸如黃色標(biāo)記）等措施快速完成。

應(yīng)當(dāng)對機構(gòu)需求的響應(yīng)進行分類。另一種做法是，在做完內(nèi)部審計報告或者制定出信息安全指南以后，4應(yīng)當(dāng)模式化所處理領(lǐng)域的分類結(jié)果。分段控制的另一 個方法是，更詳細地劃分階段控制目標(biāo)，例如“避免”、“預(yù)防”、“阻止”、“檢測”、 “緩解”、“恢復(fù)”、“修正”等控制目標(biāo)。

這時應(yīng)當(dāng)制定一個反映所涉及主題的簡略高級總綱。針對每一小結(jié)涉及的主題所給出的例子，該總綱如果附帶有簡短的解釋將會更好。這個解釋可以是一 兩句話，或者只是足以給涉及的主題提供預(yù)覽就可以了。這時最好把高級總綱針對有關(guān)利益各方進行分配，然后把收到的具有建設(shè)性的反饋意見納入總綱中。

此時，必須決定這些消息是針對哪些適當(dāng)?shù)牟呗詫ο蟆Ｍǔ＃驗槊總€對象有各自不同的需要，所以應(yīng)當(dāng)把這些策略側(cè)重于幾個差別較大的對象。例如，最終用戶也許會收到一個需要記住的小冊子，上面寫有大量重要信息的安全策略。關(guān)鍵點可能是桌面信息安全規(guī)則。同時，系統(tǒng)開發(fā)者和其他技術(shù)人員收到大量更長的包含更多細節(jié)的文檔，作為系統(tǒng)標(biāo)準(zhǔn)開發(fā)技術(shù)的一部分，也許這些文檔更關(guān)注安全問題。而管理層也許會得到另一種文檔，它主要涉及到信息所有者的任務(wù)。

盡管為不同的策略對象分別制定文檔聽起來似乎工作量很大，但是如果做出需要交流的基本信息表，則額外的工作并不一定很大。現(xiàn)在這個列表可以被策略對象細分，下面幾段中討論的正是這一細分的過程。如果把所有文檔放到企業(yè)內(nèi)部網(wǎng)上，則不同的策略對象文檔的制定和維護就會容易得多。通過使用瀏覽器鏈接，策略的閱讀者就船陜速地訪問只與他們相關(guān)的信息。例如，在大型銀行，企業(yè)內(nèi)部網(wǎng)根據(jù)職稱來分離信息安全策略，員工只需要閱讀直接與他們工作相關(guān)的策略。這些企業(yè)內(nèi)部網(wǎng)也為搜索機制提供了關(guān)鍵字和索引，兩者都能幫助讀者快速找到與當(dāng)前環(huán)境相關(guān)的策略。如今，企業(yè)內(nèi)部網(wǎng)也用于管理員測驗，以確保策略被清楚地理解。