分析阶段
分析阶段应包括以下工作:
*一份近期的风险评估,或记录机构当前信息安全需要的IT审计表。该风险评估应包含所有损失记录以及以往的法律诉讼、投诉文档和由此造成的其他信息安全领域的负面影响。
*关键参考材料的收集,除了上面所提及的条款,还包括所有现有的策略。有时,影响信息安全的策略记录会存放于人力资源部门以及会计、财务、法律或公司的安全部门。
根据Charles Cresson Woocl:
由于一些人受到时间或资源限制,因而会尝试跳过以上所提的数据收集过程。无论何时,只要数据收集时间被大大缩短,管理层拒绝接受由此产生的文档记录的可能性就会增加。管理层的信息安全观正是通过这样的数据收集过程得以确立——已有的策略、需要增加或修改的策略、管理者如何增强策略、机构所面临的特殊漏洞,以及其他基本的背景信息。倘若对背景信息的考虑不够彻底,那么,新产生的信息安全策略就很难满足机构的真正需要。