清單是為了提供內部信息安全策略文檔的制定、改善和批準的主要步驟和總概。策略文檔制定后，要列出步驟（參見下一部分）。以下許多步驟可以同時進行，也可以采用與下面不同的順序：

1.完成風險評估或信息技術審核，以確定一個機構獨有的信息安全要求，這些要求一定要在策略文檔中加以說明。

2.在機構內清楚表明“策略”一詞的含義，避免總是在準備“標準”、“過程”或其他一些相關材料。

3.確保與信息安全有關的任務和責任已經分清，其中包括發布和維護策略的責任。

4.讓管理層相信將信息安全策略文檔化是明智的。

5.確定高層管理者中由誰來批準最后的信息安全文檔，并確定所有有影響的評審人員。

6.收集和閱讀所有已有的內部信息安全意識，并構造一個包含底層消息的表。

7.進行簡要的內部調查以收集各種看法，這些看法在股東看來是應該收進新的或更新的信息安全策略中。

8.檢查你所在機構所發布的策略（如來自人力資源管理的策略），確認主要的形式、風格、語調、篇幅及參考，其目標就是為了得到與原有設想相吻合的信息。

9.確認聽眾能收到信息安全策略材料，并確定放在內部網站上，每人是否可以得到不同的文檔或不同的頁面。

10.確定聽眾的理解程度、對計算機的精通程度以及對安全信息的敏悟程度， 包括理解圍繞信息安全的企業文化。