清單是為了提供內(nèi)部信息安全策略文檔的制定、改善和批準(zhǔn)的主要步驟和總概。策略文檔制定后，要列出步驟（參見下一部分）。以下許多步驟可以同時(shí)進(jìn)行，也可以采用與下面不同的順序：

1.完成風(fēng)險(xiǎn)評(píng)估或信息技術(shù)審核，以確定一個(gè)機(jī)構(gòu)獨(dú)有的信息安全要求，這些要求一定要在策略文檔中加以說明。

2.在機(jī)構(gòu)內(nèi)清楚表明“策略”一詞的含義，避免總是在準(zhǔn)備“標(biāo)準(zhǔn)”、“過程”或其他一些相關(guān)材料。

3.確保與信息安全有關(guān)的任務(wù)和責(zé)任已經(jīng)分清，其中包括發(fā)布和維護(hù)策略的責(zé)任。

4.讓管理層相信將信息安全策略文檔化是明智的。

5.確定高層管理者中由誰來批準(zhǔn)最后的信息安全文檔，并確定所有有影響的評(píng)審人員。

6.收集和閱讀所有已有的內(nèi)部信息安全意識(shí)，并構(gòu)造一個(gè)包含底層消息的表。

7.進(jìn)行簡(jiǎn)要的內(nèi)部調(diào)查以收集各種看法，這些看法在股東看來是應(yīng)該收進(jìn)新的或更新的信息安全策略中。

8.檢查你所在機(jī)構(gòu)所發(fā)布的策略（如來自人力資源管理的策略），確認(rèn)主要的形式、風(fēng)格、語調(diào)、篇幅及參考，其目標(biāo)就是為了得到與原有設(shè)想相吻合的信息。

9.確認(rèn)聽眾能收到信息安全策略材料，并確定放在內(nèi)部網(wǎng)站上，每人是否可以得到不同的文檔或不同的頁面。

10.確定聽眾的理解程度、對(duì)計(jì)算機(jī)的精通程度以及對(duì)安全信息的敏悟程度， 包括理解圍繞信息安全的企業(yè)文化。