定義策略框架

收集完上面所提到的參考材料以后，應(yīng)當編輯一個列表，它應(yīng)包括新的和更為全面的信息安全策略文檔所涉及的主題。該列表的初稿應(yīng)當包括那些會被立即采用和以后采用的策略。在大多數(shù)情況下，該表的詳細等級也許是不一致的， 但在此階段將不會在意這一因素。例如，該表也許包括遠程交換和最小10個字符的密碼結(jié)構(gòu)。當高級的大綱準備好以后，就應(yīng)當使細節(jié)等級標準化。如果想知道更多的信息，請看下一節(jié)“制定一個覆蓋矩陣表”。

接著應(yīng)當嘗試定義機構(gòu)信息安全策略的表示方法。例如，策略也許應(yīng)當用標準操作過程手冊來代替。另一件需要做的事是，信息安全部門的負責人應(yīng)當定期地發(fā)布總結(jié)策略的電子郵件備忘錄，把隱私策略發(fā)到網(wǎng)上是很常見的事。由于許多人通過各種通信渠道對工作人員進行攻擊，所以信息安全策略通過多種通信渠道被多次發(fā)送是很有必要的。用來表示策略的渠道將決定策略被怎樣制定。例如，如果使用錄像帶，那么將使用簡化的通俗方式，而如果策略文檔被放在企業(yè)內(nèi)部網(wǎng)Web服務(wù)器上，那么使用更多的圖形和超文本連接方式則是比較恰當?shù)姆绞健?/p>

應(yīng)當檢查機構(gòu)信息安全策略當前使用的方式或準備使用的方式。這些策略可以用于指導(dǎo)信息系統(tǒng)的獲取工作，推動信息技術(shù)審計計劃，指導(dǎo)用戶安全地操作桌面計算機等等。定義策略的使用將會有助于弄清這些策略主要面向哪一些人員，詳細內(nèi)容將在下一節(jié)“制定一個覆蓋矩陣”中介紹。

策略的使用要著重關(guān)注那些最需要解決的領(lǐng)域。當分配完策略文檔以后，其他的用戶不久就會明白此點。不應(yīng)把這看成很差的計劃，而應(yīng)當認為它具有成功的主動性，它將對機構(gòu)產(chǎn)生意料之外的作用。在一些實際的例子中，策略文檔的使用方式在最初也許是未知的，但通過一系列的集會，就能很快識別出有關(guān)的利益各方。