11.决定在信息安全策略公布前是不是还必须做出别的努力。例如,说明信息安全本身已经成为生产的重要因素。
12.运用来自风险评估的思想,准备一个必须要传达的绝对重要的策略信息表。参考策略声明以及本书中的策略实例。
13.如果策略对象不止一个,就要让他们与覆盖矩阵中的底层信息相匹配。
14.确定策略材料如何分发,注意每种传播媒体的局限性和含义,推荐采用企业内部网。
15.评审检查遵守过程、训练过程和执行过程,以确保承载策略文档的所有这些过程能顺利运行。
16.确定信息量是不是过多,一次难以处理,如果确实如此,找出可以分不同时间分发的各类材料。
17.在第一个文档中应包含主题的纲要,由几位股东评审,信息安全管理委员会是理想的评审机构。
18.基于从股东那里得到的意见,修改最初的纲要并且准备第一份草案。
19.把第一份草案给股东评审,以得到他们最初的反应、建议和执行意见。 ⑩根据股东的意见修改草案,估计这一步可能会重复几次。
20.请求高层管理者批准策略,修改可能是必要的,在此情形下,这一步要重复几次。
21.准备一个策略文档摘要,例如,一张由用户设计的表格,用来接收新的或更新的用户ID和密码。
22.制定一个意识提升项目,将策略文档作为想法和需求的源头。
23.创建工作文档备忘录,把评审者的意见记录在里面,即使内容并没有改变也应如此。
24.撰写一份备忘录,记录项目、你所学的知识以及需要固定下来的思想,以便使下一次的策略文档更加有效,并更能为读者所接受,也能够对你所在机构所面临的环境做出更好的响应。
25.按照策略文档中的要求,列出下面要进行的每一个步骤,这些步骤包括创建信息安全框架、手工操作文档和信息技术安全标准,以及新产品的获得、 招聘新的技术员工和其他事务。