新策略发布前,应在内部审计部门或信息技术审计部门内讨论如何使策略得以实施,其中包括检查执行情况的工具,如软件许可管理系统。也要考虑到引导人工定期检查执行情况的困难和是否明智,也应当预见完成这种检查的方式和方法。人力资源策略,诸如纪律执行过程和雇员业绩评估过程,都需要在撰写策略前预先讨论。
许多情况下,当在企业内部网上能够找到用于资料保密协议( NDAs)的计算机化的工具时,并且让所有员工能够访问,则有助于员工遵守策略。无论在任何时候需要NDAs,用户都能简单地打印得自服务器的相关表格,工具能够较容易获取,这有助于用户把信息安全策略转化到实际活动中。
策略的执行并不困难,可以考虑运用特殊过程来做到这一点。例如,如果机密资料放在桌面上,就取走它,并留下一张收条,让员工知道如何重新找回资料; 第二次,如果机密材料泄漏,员工和管理者都必须重新找回那些资料;第三次就要求员工、管理者和副总裁都去做;第四次,就有理由解雇有关人员。
如果员工能意识到哪些行为违反了信息安全策略,并且会受到相应的惩罚, 那么策略的执行会更加有效。通过信息安全意识提升项目,建立明确的期望,这是整套策略有效和可实施的重要组成部分。这样的意识项目,举个例子,应清楚地声明企业信息是公司的财产,没有管理者的同意不能复制、修改、删除或无目的地使用。
发现和惩罚违反策略的员工并不是目的。虽然对违规者进行惩罚是必要的, 但强制机制的目的不是产生大量的违反通告。如果大量的人都不遵守,这就表明策略和相关的意识提升项目是无效的。在此情形下,策略后面的意图需要以更有效的方式进行传达,或者策略需要修改,以便更好地反映机构文化或主流运作环境。