新策略發布前，應在內部審計部門或信息技術審計部門內討論如何使策略得以實施，其中包括檢查執行情況的工具，如軟件許可管理系統。也要考慮到引導人工定期檢查執行情況的困難和是否明智，也應當預見完成這種檢查的方式和方法。人力資源策略，諸如紀律執行過程和雇員業績評估過程，都需要在撰寫策略前預先討論。

許多情況下，當在企業內部網上能夠找到用于資料保密協議( NDAs)的計算機化的工具時，并且讓所有員工能夠訪問，則有助于員工遵守策略。無論在任何時候需要NDAs，用戶都能簡單地打印得自服務器的相關表格，工具能夠較容易獲取，這有助于用戶把信息安全策略轉化到實際活動中。

策略的執行并不困難，可以考慮運用特殊過程來做到這一點。例如，如果機密資料放在桌面上，就取走它，并留下一張收條，讓員工知道如何重新找回資料； 第二次，如果機密材料泄漏，員工和管理者都必須重新找回那些資料；第三次就要求員工、管理者和副總裁都去做；第四次，就有理由解雇有關人員。

如果員工能意識到哪些行為違反了信息安全策略，并且會受到相應的懲罰， 那么策略的執行會更加有效。通過信息安全意識提升項目，建立明確的期望，這是整套策略有效和可實施的重要組成部分。這樣的意識項目，舉個例子，應清楚地聲明企業信息是公司的財產，沒有管理者的同意不能復制、修改、刪除或無目的地使用。

發現和懲罰違反策略的員工并不是目的。雖然對違規者進行懲罰是必要的， 但強制機制的目的不是產生大量的違反通告。如果大量的人都不遵守，這就表明策略和相關的意識提升項目是無效的。在此情形下，策略后面的意圖需要以更有效的方式進行傳達，或者策略需要修改，以便更好地反映機構文化或主流運作環境。