制定信息安全藍(lán)圖，這個藍(lán)圖描述了現(xiàn)存的控制并且確定出其他必要的安全控制。藍(lán)圖和框架這兩個術(shù)語很接近：框架是對更為詳盡的藍(lán)圖的概述，藍(lán)圖作為設(shè)計、選擇和實施所有后續(xù)安全控制的基礎(chǔ)，包括信息安全策略、安全教育和培訓(xùn)項目以及技術(shù)控制。

大多數(shù)機(jī)構(gòu)都利用已經(jīng)建立的安全模型和實踐來設(shè)計安全藍(lán)圖，安全模型是由服務(wù)機(jī)構(gòu)提供的通用藍(lán)圖。有一些模型屬于私有財產(chǎn)，需支付很高的費(fèi)用；其他的相對來說不那么昂貴，如ISO標(biāo)準(zhǔn)；還有一些是免費(fèi)的，可以從國家標(biāo)準(zhǔn)技術(shù)委員會和許多其他的來源獲得。你所選擇的模型必須靈活、可升級、可靠并且足夠詳細(xì)。

創(chuàng)建藍(lán)圖的另一個方法是參考其他機(jī)構(gòu)采取的辦法，在此參照下，可以采用最佳實踐或者行業(yè)標(biāo)準(zhǔn)。參照法能夠提供應(yīng)該考慮的控制細(xì)節(jié)，但是它不提供如何將控制付諸實踐的實施細(xì)節(jié)。 ’

改進(jìn)或者采納現(xiàn)存的安全管理模型或經(jīng)驗，也是一種選擇方法。現(xiàn)在已經(jīng)有一些公開發(fā)布的安全模型和框架，后面將提到政府機(jī)構(gòu)使用的模型和框架。每一 個信息安全環(huán)境都是獨(dú)一無二的，你可能需要做出修改或者擷取多個框架的部分內(nèi)容。