該階段應當完成的研究工作包括：原有策略的制定方式、一些術語的使用、記錄策略的傳統格式、策略編號和命名系統、策略和其他管理元素之間的關聯項（比如過程與標準等）。例如，原有策略通常使用“必須”這一詞，為了維持一致性，信息安全策略也應當使用“必須”這一詞。同樣，原有策略也許采用軍用式的編號系統或者完全不同的樣式。一個信息安全策略的發布一直是有爭議的問題，不管內部策略樣式指導方針制定與否，都不要由于未能與這些方針不一致而給批評家更多的話題。

原有策略要求，對機構策略聲明的詳細等級進行評審。機構也許已經用了特定的術語來定義原有策略，在這些策略中，采用詳細的信息安全策略聲明也是比較恰當的；另一種情形是，這些機構也許用了非常高級的術語來定義策略，這時也許只有采用概要的信息安全聲明是恰當的。也許兩種選擇同時存在，那么分離的策略可面向不同的策略對象。從某種角度上講，策略的詳細等級是由管理層對員工的信任程度所決定的；也是由員工對文檔具體要求的遵守程度所決定的；以及由員工對正在解決的問題的熟悉程度所決定的。

內部策略中的一些信息（諸如表示方法、策略使用、使用方法、詳細等級等）很少被記錄，但是通過檢查原有策略聲明可以獲得這些信息。在一些超大型機構中也許存在一些文檔，可給策略制定過程提供方向。在一些大型機構中，策略和計劃小組的內部員工能夠幫助策略制定工作。不管是否能夠獲得外部的指導或內部的咨詢輔助，為了確保即時的采用，應當采用與原有策略類似的方法，來制定新的或修改的信息安全策略，這些方法的形式與原有策略應該沒有本質區別。