實施階段

在實施階段中，策略制定團隊開始制定策略。這可能是一個富有挑戰性的過程，但一份好的策略文檔并不必從頭開始。有許多可供你支配的資源，包括：

*網絡，你可以在上面搜索其他相似的策略。這里并不是要提倡大量地抄襲這些策略，而是鼓勵你尋求在你的策略當中應該蘊涵的思想。例如，網絡上有大量的關于公平和負責地使用各種技術的可用策略。但你可能找不到與敏感的內部文檔和程序有關的策略。

*政府站點，如：http：//csrc.nist.gOv和http：//fasp. nist. gov/fasp/，其中含有許多策略示例和策略支持文檔，包括SP800-12，An Introclucti'on to Computer Security:The NIST Hanclbook。當這些策略是特別針對或適用于聯邦政府網站時，可以用其中一部分來滿足你的機構的需要。

*專業文獻，幾位作者——其中最富盛名的：Charles Cresson Wood-已經出版了一些有關該課題的書籍。極其有名的是他的Information Security Policies Made Easy，該書不僅提供了超過l 000頁的策略，而且還將這些策略形成電子格式，結尾部分注明了允許把它們用于內部文檔。但使用這些資源時存在著使用警告，我們也許很容易就得到很多章節的策略，然而卻是大量既不能出版也不能執行的文檔。

*對等網絡，其他信息安全專業人員需要制定相似的策略和執行相似的計劃。

參加由信息系統安全協會（ 州r.lssa. org）召開的會議，邀請你的同事一起參加（像開篇章節中講述的Iris所做的那樣）。

專業顧問，在信息安全領域，策略制定工作無疑是由機構內部完成的，但如果你實在沒有時間，那么，聘請外部顧問就是最后的選擇了。記住，沒有顧問能夠比你更了解機構，顧問也只能簡單地制定一般性策略，而你則要根據具體情況來采用。

在實施階段，策略制定團隊必須確保依照一定的標準：

確定策略是可實施的，一項不可行的策略，比如禁止員工之間討論私人事務， 是無效的策略。

準備策略發布，這項工作并不總是如你想象的那樣簡單。光是在電子公告牌上傳達策略是不夠的，除非需要員工在指定時間（每日、每周等）閱讀電子公告牌。策略在最終用戶獲知以前，不能強制執行。與民法和刑法不同的是， 對策略的忽視，在其宣傳不力時，還是可接受的。在某些情況下，必須極力宣傳策略或用其他語言和形式提供策略。

確定策略具有可讀性，減少技術和管理術語，可讀性統計是確定閱讀水平的有用工具，它在多數產品程序組如Microsoft Worcl中均有提供。圖4-9顯示了該部分的可讀性統計。

維護階段

在維護階段，策略制定團隊根據需要監控、維護以及修改策略，以確保其始終是對付威脅變化的有效工具。策略應當具有一種固定的機制，用戶通過它可以報告策略存在的問題，若是能夠匿名則更好。