SP 800-18：信息技術系統安全計劃開發指南

NIST特別報告書800-18強調了策略管理的方法。因為策略是不停變化發展的動態文檔，機構不能只是創建了一批重要的文檔，就把它們擱置在一邊，相反， 這些文檔必須得到恰當的傳播（分發、閱讀、理解以及支持）和管理。策略開發和維護方面的優秀管理經驗可以讓一個機構在遭受打擊后能更容易恢復，例如，所有策略，包括安全策略，在公司合并和回收股權時都會承受巨大的壓力。在這種情況下，變化經常都會發生，而且員工們都處于一種不確定的狀態并面對很多困惑，這些壓力能暴露安全策略管理中的弱點。如果兩個公司合并之后，仍然有不同的策略，要在這種情況下實施安全控制是非常困難的。同樣，當一個有統一策略的公司一分為二時，這兩個公司的策略需求都發生了變化，必須改變以適應新的情況。

對于當前的可行策略，必須有一個責任人來負責安排檢查，定義檢查操作與程序，并確保策略和修訂數據的提交。

責任人（responsible individual）

信息系統和信息安全項目必須有一個監督者( champion)和管理者，策略也一 樣。策略監督者和管理者叫做策略管理員( policy administrator)，一般情況下，這個人是一個負責創建、修訂、分發、保存策略的中級職員。需要注意的是，策略管理員并不一定是一個技術高手。當進行信息安全實踐時，專家需要有廣博的技術知識，但是策略管理和策略管理員只需要有適當的技術背景就可以了。策略管理員從技術熟練的信息安全專家和每個利益團體中致力于業務的管理者處索取信息，作為回報，當對機構策略做出修改之后，會通告所有會受到影響的人。

當一個需要上百個工作時來開發的策略被放人活頁文檔夾，然后被放置在管理者的書架上與灰塵為伴時，這實在是一件令人氣餒的事。一個優秀的策略管理員能阻止這種事情，他需要做的是：確保策略文檔和所有隨后的修訂都得到恰當的分發。策略管理員必須在策略文檔上明確地指出一個主要聯系人，以提供對策略的額外信息或修訂建議。