組織評審、批準(zhǔn)和實施過程

一旦信息安全策略文檔初稿完成，就應(yīng)當(dāng)對其評審。對反饋意見進行修改以后，策略文檔就應(yīng)當(dāng)被送到有關(guān)的內(nèi)部人員處（如內(nèi)部審計管理和知識產(chǎn)權(quán)部門的律師）。幾個關(guān)鍵支持部門做出修改以后，就準(zhǔn)備由信息安全管理委員會評審。 評審的下一步流程會分配給更多的相關(guān)部門，例如，所有的信息所有者和信息系統(tǒng)中所雇傭的人員。該評審過程是可取的，因為它通過預(yù)先分發(fā)文檔給這些關(guān)鍵部門并獲得它們的支持，使該過程建立在它們支持的基礎(chǔ)之上。

許多評審周期，其每一步都會給策略文檔帶來變化，因而常常是必要的。應(yīng)該把這看成是模式化的過程，而不應(yīng)該看作是個人行為。多重評審部分反映了這樣一個事實，那就是信息安全策略的制定過程具有很高的政策性、受情感支酉己以及高度的開放性。反復(fù)的評審過程能夠讓策略更加清晰、簡潔并冉旨對主流形勢作出反映，為此評審的觀點應(yīng)當(dāng)受到歡迎。兩個指導(dǎo)性的附錄提供了關(guān)于該過程的附加信息，若需要更多的信息，參見“策略制定過程的步驟清單”。

評審過程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行宮或者董事會主席簽名。必須有一條簡潔消息，以表明希望能予以遵守并且這是繼續(xù)雇用的條件， 應(yīng)當(dāng)在策略文檔的第一頁就可以找到該消息，如果它在內(nèi)部網(wǎng)服務(wù)器上，就應(yīng)該把它放在開放的網(wǎng)頁。該消息要放在顯眼的位置，并有高層管理者的簽名， 這樣讀者就確信該策略文檔受到高層領(lǐng)導(dǎo)強有力的支持。如果讓首席執(zhí)行官簽名不現(xiàn)實，那有首席信息官的簽名也行。要注意僅有信息安全部門主管或同級的部門主管的簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意聽起來就像不必要的交易，但經(jīng)驗表明，高層的簽名和希望遵守的附加信息對于策略的廣泛采納是非常重要的。在策略文檔得到管理層批準(zhǔn)前，它已經(jīng)得到了機構(gòu)內(nèi)部各方多次評審和修訂，或許最令人滿意的評審方是信息安全管理委員會。

一般說來，信息安全委員會由機構(gòu)內(nèi)部信息安全利益團體的代表組成，參與者包括來自以下各部門的成員：信息安全、內(nèi)部審計、風(fēng)險管理、物理安全，信息系統(tǒng)、人力資源、法律、財政和會計部以及各種用戶部門。這樣一個委員會本質(zhì)上是監(jiān)督信息安全部門的工作，它負(fù)責(zé)篩選和提煉已提交的策略、過程、組織結(jié)構(gòu)和另外的信息安全創(chuàng)意，以便在整個組織內(nèi)為大家所樂意接納和實施。在大多數(shù)的情形下，信息安全管理層設(shè)計一個信息安全策略粗稿，然后提交管理委員會評審和批準(zhǔn)。