自動化工具

為了進行有效的策略管理，涌現出了一類支持策略制定、實施、維護的工具軟件。這些工具中最有名的是策略中心方法論( VPC)，一個集成的策略核定和實施系統。VPC允許策略制定者創建策略，并有多個組織或人員管理核定過程，將已批準的策略在機構內發布。VPC估計讀者對策略的理解程度，并將讀者的認可記錄在電子檔案中。這樣一來，就減少或消除了文檔復印件的分發過程，這些復印件可能無人閱讀，也減少或消除了多項策略回執認可表的管理過程。諸如VPC類的工具，通過機構內部互聯網的密碼保護保持策略的機密性，同時生成定期報告， 說明機構中哪些員工已經閱讀和認可該策略，而哪些還沒有，圖4 -10例舉了VPC 的方法步驟。

　以上對VPC的描述取自NetIQ產品文獻：

NetIQ的VigilEnt策略中心允許你在機構范圍內，通過一個基于網絡的自動化方案，管理和實施你所有的策略。你可以使策略始終保持最新，它們會自動地更改和發布到網絡瀏覽器上。此外，VigilEnt策+略中心為你提供了必要工具，以追蹤用戶遵守狀況，并衡量全體員工對策略的理解程度和安全意識。

當策略的制定和發布均未使用軟件自動化工具時，通常很難找到策略的最初制定者以及批準者。但若使用VPC這樣的工具，策略中會明顯地標明其主要負責管理者的名字以及批準日期。這樣的標識方式會使管理者不愿使用自動化工具來實施策略，因為這會將新制定的約束和規則與該管理者聯系起來。這樣的猶豫會成為難以克服的障礙，但是，如果對管理人員工作效率的評估是基于階段目標的成功實現（比如，一個有效的策略實施過程），而不是以工作中的失誤為評判標準，那么就能夠成功地克服這一障礙。

《信息安全策略制定簡化方法》

我們在前面參考了《The Information Security Policy Macle Easy》 (ISPME)這本書。經由該書作者和出版商的許可，將討論策略制定的另一種方法。