建立考試機制以檢查員工是否理解了策略——應該有一系列的考試和調查確定員工是否理解安全策略文檔中的重點。通過這些考試和調查確定是否要增加培訓和通告。這些考試和檢查也能作為能夠具有某些特權的必要過程。例如， 一個員工只有通過一次考試或檢查才可以遠程辦公。

培訓信息安全協調人員——在信息安全協調人員能正式工作前，他們要接受培訓，半天的培訓課程，可讓他們熟悉新信息安全策略文檔的要求、現有的機構資源和處理各種問題的最佳方式，如斷電、黑客攻擊、還有計算機病毒感染，推薦使用本地信息安全協調人員手冊。

準備和發布基礎信息安全培訓課程——為X公司中的所有員工準備培訓大綱。策略文檔是培訓和意識提升的主要來源。另外各種材料（如公司的操作編號），在準備課程時也要加以利用，這些課使用了幾次后，可能需要修改，然后通過錄像帶或基于計算機的培訓軟件存檔。在許多情況下，不同策略對象可能要不同的培訓課程。策略對象包括新招聘的員工、當前需要額外培訓的員工、系統管理員、網絡管理員、可能被任命的信息安全協調員、系統分析員、應用程序設計師，相關系統的項目經理、系統質量保障人員和別的沒有信息安全協調能力的技術員工。

制定特殊應用的信息安全策略——某些高度敏感的應用軟件需要額外的特殊應用策略和操作過程。現在已經準備了新的信息安全策略文檔，另外要求為高風險的應用系統制定更詳細的策略和相關需求。某些更復雜的計算環境，不僅僅包含應用系統，如互聯網電子商務，因此就要保證更詳細的策略和操作過程。下述概念層次用于描述這些特殊應用文檔和新的信息安全策略之間的關系。

制定信息安全需求的概念層次——信息安全領域是復雜的，復雜性表現在定義信息安全需求的各種文檔中。在許多機構中，這些包括標準、指導方針、策略、 手續和體系結構。通用信息安全策略文檔應在概念層次的頂部，而相關應用信息安全策略文檔位于下面。標準、指導方針、操作過程和別的文檔要通過整個機構的信息安全策略聲明加以控制。當一些文檔被采用時，概念層次應當指明；當存在沖突時哪些文檔優先、哪些文檔是當前的、哪些是過時的。這個概念層次對于培訓和意識提升是有用的，也可以放在公司的信息安全企業網頁上。

分配信息所有權和保管責任——具體的信息管理所有權，應該根據信息安全文檔中定義的需求落實到直接責任人。在所有權被分配以后，接下來要確定保管責任角色。

建立一個信息安全管理委員會——為了監督正在進行中的各種信息安全活動，應該建立一個委員會，這個委員會要有X公司各個主要部門的中層領導，它保障現行和提議的信息安全活動和業務目標一致，而不是向信息安全部門提供任何具體的技術幫助。這個委員會在將建議提交給上層管理者之前，首先要他們自己達成一致，一般每一季度聚集一次，它的使命書和相關詳細資料能夠在《Information Security Roles and Responsibilities Macle Easy》這本書中找到。

制定一個信息安全體系結構文檔——即使在策略文檔里詳細敘述了信息安全的基本規則，大多數情況下也有必要為設計安全系統構筑一個宏偉的設想。機構越大，越需要這樣的文檔。在這些機構里復雜性越來越成為一個問題。體系結構應該指定現在和不久的將來會用到的控制，提供一個計劃保證不久的將來由于情況的變化，機構必須改變控制信息系統的方式時，這種改變能夠被接受。一些機構也使用一個體系結構文檔來指定已經被批準的信息安全產品和相關供應商。 體系結構處理系統接口、技術標準和其他的技術考慮，而不僅是策略文檔。