定义策略框架
收集完上面所提到的参考材料以后,应当编辑一个列表,它应包括新的和更为全面的信息安全策略文档所涉及的主题。该列表的初稿应当包括那些会被立即采用和以后采用的策略。在大多数情况下,该表的详细等级也许是不一致的, 但在此阶段将不会在意这一因素。例如,该表也许包括远程交换和最小10个字符的密码结构。当高级的大纲准备好以后,就应当使细节等级标准化。如果想知道更多的信息,请看下一节“制定一个覆盖矩阵表”。
接着应当尝试定义机构信息安全策略的表示方法。例如,策略也许应当用标准操作过程手册来代替。另一件需要做的事是,信息安全部门的负责人应当定期地发布总结策略的电子邮件备忘录,把隐私策略发到网上是很常见的事。由于许多人通过各种通信渠道对工作人员进行攻击,所以信息安全策略通过多种通信渠道被多次发送是很有必要的。用来表示策略的渠道将决定策略被怎样制定。例如,如果使用录像带,那么将使用简化的通俗方式,而如果策略文档被放在企业内部网Web服务器上,那么使用更多的图形和超文本连接方式则是比较恰当的方式。
应当检查机构信息安全策略当前使用的方式或准备使用的方式。这些策略可以用于指导信息系统的获取工作,推动信息技术审计计划,指导用户安全地操作桌面计算机等等。定义策略的使用将会有助于弄清这些策略主要面向哪一些人员,详细内容将在下一节“制定一个覆盖矩阵”中介绍。
策略的使用要着重关注那些最需要解决的领域。当分配完策略文档以后,其他的用户不久就会明白此点。不应把这看成很差的计划,而应当认为它具有成功的主动性,它将对机构产生意料之外的作用。在一些实际的例子中,策略文档的使用方式在最初也许是未知的,但通过一系列的集会,就能很快识别出有关的利益各方。