信息安全策略制定过程的步骤清单二

11.决定在信息安全策略公布前是不是还必须做出别的努力。例如，说明信息安全本身已经成为生产的重要因素。

12.运用来自风险评估的思想，准备一个必须要传达的绝对重要的策略信息表。参考策略声明以及本书中的策略实例。

13.如果策略对象不止一个，就要让他们与覆盖矩阵中的底层信息相匹配。

14.确定策略材料如何分发，注意每种传播媒体的局限性和含义，推荐采用企业内部网。

15.评审检查遵守过程、训练过程和执行过程，以确保承载策略文档的所有这些过程能顺利运行。

16.确定信息量是不是过多，一次难以处理，如果确实如此，找出可以分不同时间分发的各类材料。

17.在第一个文档中应包含主题的纲要，由几位股东评审，信息安全管理委员会是理想的评审机构。

18.基于从股东那里得到的意见，修改最初的纲要并且准备第一份草案。

19.把第一份草案给股东评审，以得到他们最初的反应、建议和执行意见。 ⑩根据股东的意见修改草案，估计这一步可能会重复几次。

20.请求高层管理者批准策略，修改可能是必要的，在此情形下，这一步要重复几次。

21.准备一个策略文档摘要，例如，一张由用户设计的表格，用来接收新的或更新的用户ID和密码。

22.制定一个意识提升项目，将策略文档作为想法和需求的源头。

23.创建工作文档备忘录，把评审者的意见记录在里面，即使内容并没有改变也应如此。

24.撰写一份备忘录，记录项目、你所学的知识以及需要固定下来的思想，以便使下一次的策略文档更加有效，并更能为读者所接受，也能够对你所在机构所面临的环境做出更好的响应。

25.按照策略文档中的要求，列出下面要进行的每一个步骤，这些步骤包括创建信息安全框架、手工操作文档和信息技术安全标准，以及新产品的获得、 招聘新的技术员工和其他事务。