制定一個覆蓋矩陣

制定好需要關注領域的_張大致列表，在逐漸熟悉機構對策略的表示方式以及使用方式以后，就可以使用指南中找到的策略。這時應當評估所涉及到的附加主題，評審策略標題以及策略本身并跳過附隨的注解。這項工作一般通過使用指南副本和標記（諸如黃色標記）等措施快速完成。

應當對機構需求的響應進行分類。另一種做法是，在做完內部審計報告或者制定出信息安全指南以后，4應當模式化所處理領域的分類結果。分段控制的另一 個方法是，更詳細地劃分階段控制目標，例如“避免”、“預防”、“阻止”、“檢測”、 “緩解”、“恢復”、“修正”等控制目標。

這時應當制定一個反映所涉及主題的簡略高級總綱。針對每一小結涉及的主題所給出的例子，該總綱如果附帶有簡短的解釋將會更好。這個解釋可以是一 兩句話，或者只是足以給涉及的主題提供預覽就可以了。這時最好把高級總綱針對有關利益各方進行分配，然后把收到的具有建設性的反饋意見納入總綱中。

此時，必須決定這些消息是針對哪些適當的策略對象。通常，因為每個對象有各自不同的需要，所以應當把這些策略側重于幾個差別較大的對象。例如，最終用戶也許會收到一個需要記住的小冊子，上面寫有大量重要信息的安全策略。關鍵點可能是桌面信息安全規則。同時，系統開發者和其他技術人員收到大量更長的包含更多細節的文檔，作為系統標準開發技術的一部分，也許這些文檔更關注安全問題。而管理層也許會得到另一種文檔，它主要涉及到信息所有者的任務。

盡管為不同的策略對象分別制定文檔聽起來似乎工作量很大，但是如果做出需要交流的基本信息表，則額外的工作并不一定很大?，F在這個列表可以被策略對象細分，下面幾段中討論的正是這一細分的過程。如果把所有文檔放到企業內部網上，則不同的策略對象文檔的制定和維護就會容易得多。通過使用瀏覽器鏈接，策略的閱讀者就船陜速地訪問只與他們相關的信息。例如，在大型銀行，企業內部網根據職稱來分離信息安全策略，員工只需要閱讀直接與他們工作相關的策略。這些企業內部網也為搜索機制提供了關鍵字和索引，兩者都能幫助讀者快速找到與當前環境相關的策略。如今，企業內部網也用于管理員測驗，以確保策略被清楚地理解。