組織評(píng)審、批準(zhǔn)和實(shí)施過程

一旦信息安全策略文檔初稿完成，就應(yīng)當(dāng)對(duì)其評(píng)審。對(duì)反饋意見進(jìn)行修改以后，策略文檔就應(yīng)當(dāng)被送到有關(guān)的內(nèi)部人員處（如內(nèi)部審計(jì)管理和知識(shí)產(chǎn)權(quán)部門的律師）。幾個(gè)關(guān)鍵支持部門做出修改以后，就準(zhǔn)備由信息安全管理委員會(huì)評(píng)審。 評(píng)審的下一步流程會(huì)分配給更多的相關(guān)部門，例如，所有的信息所有者和信息系統(tǒng)中所雇傭的人員。該評(píng)審過程是可取的，因?yàn)樗ㄟ^預(yù)先分發(fā)文檔給這些關(guān)鍵部門并獲得它們的支持，使該過程建立在它們支持的基礎(chǔ)之上。

許多評(píng)審周期，其每一步都會(huì)給策略文檔帶來變化，因而常常是必要的。應(yīng)該把這看成是模式化的過程，而不應(yīng)該看作是個(gè)人行為。多重評(píng)審部分反映了這樣一個(gè)事實(shí)，那就是信息安全策略的制定過程具有很高的政策性、受情感支酉己以及高度的開放性。反復(fù)的評(píng)審過程能夠讓策略更加清晰、簡(jiǎn)潔并冉旨對(duì)主流形勢(shì)作出反映，為此評(píng)審的觀點(diǎn)應(yīng)當(dāng)受到歡迎。兩個(gè)指導(dǎo)性的附錄提供了關(guān)于該過程的附加信息，若需要更多的信息，參見“策略制定過程的步驟清單”。

評(píng)審過程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行宮或者董事會(huì)主席簽名。必須有一條簡(jiǎn)潔消息，以表明希望能予以遵守并且這是繼續(xù)雇用的條件， 應(yīng)當(dāng)在策略文檔的第一頁(yè)就可以找到該消息，如果它在內(nèi)部網(wǎng)服務(wù)器上，就應(yīng)該把它放在開放的網(wǎng)頁(yè)。該消息要放在顯眼的位置，并有高層管理者的簽名， 這樣讀者就確信該策略文檔受到高層領(lǐng)導(dǎo)強(qiáng)有力的支持。如果讓首席執(zhí)行官簽名不現(xiàn)實(shí)，那有首席信息官的簽名也行。要注意僅有信息安全部門主管或同級(jí)的部門主管的簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意聽起來就像不必要的交易，但經(jīng)驗(yàn)表明，高層的簽名和希望遵守的附加信息對(duì)于策略的廣泛采納是非常重要的。在策略文檔得到管理層批準(zhǔn)前，它已經(jīng)得到了機(jī)構(gòu)內(nèi)部各方多次評(píng)審和修訂，或許最令人滿意的評(píng)審方是信息安全管理委員會(huì)。

一般說來，信息安全委員會(huì)由機(jī)構(gòu)內(nèi)部信息安全利益團(tuán)體的代表組成，參與者包括來自以下各部門的成員：信息安全、內(nèi)部審計(jì)、風(fēng)險(xiǎn)管理、物理安全，信息系統(tǒng)、人力資源、法律、財(cái)政和會(huì)計(jì)部以及各種用戶部門。這樣一個(gè)委員會(huì)本質(zhì)上是監(jiān)督信息安全部門的工作，它負(fù)責(zé)篩選和提煉已提交的策略、過程、組織結(jié)構(gòu)和另外的信息安全創(chuàng)意，以便在整個(gè)組織內(nèi)為大家所樂意接納和實(shí)施。在大多數(shù)的情形下，信息安全管理層設(shè)計(jì)一個(gè)信息安全策略粗稿，然后提交管理委員會(huì)評(píng)審和批準(zhǔn)。