制定一个覆盖矩阵
制定好需要关注领域的_张大致列表,在逐渐熟悉机构对策略的表示方式以及使用方式以后,就可以使用指南中找到的策略。这时应当评估所涉及到的附加主题,评审策略标题以及策略本身并跳过附随的注解。这项工作一般通过使用指南副本和标记(诸如黄色标记)等措施快速完成。
应当对机构需求的响应进行分类。另一种做法是,在做完内部审计报告或者制定出信息安全指南以后,4应当模式化所处理领域的分类结果。分段控制的另一 个方法是,更详细地划分阶段控制目标,例如“避免”、“预防”、“阻止”、“检测”、 “缓解”、“恢复”、“修正”等控制目标。
这时应当制定一个反映所涉及主题的简略高级总纲。针对每一小结涉及的主题所给出的例子,该总纲如果附带有简短的解释将会更好。这个解释可以是一 两句话,或者只是足以给涉及的主题提供预览就可以了。这时最好把高级总纲针对有关利益各方进行分配,然后把收到的具有建设性的反馈意见纳入总纲中。
此时,必须决定这些消息是针对哪些适当的策略对象。通常,因为每个对象有各自不同的需要,所以应当把这些策略侧重于几个差别较大的对象。例如,最终用户也许会收到一个需要记住的小册子,上面写有大量重要信息的安全策略。关键点可能是桌面信息安全规则。同时,系统开发者和其他技术人员收到大量更长的包含更多细节的文档,作为系统标准开发技术的一部分,也许这些文档更关注安全问题。而管理层也许会得到另一种文档,它主要涉及到信息所有者的任务。
尽管为不同的策略对象分别制定文档听起来似乎工作量很大,但是如果做出需要交流的基本信息表,则额外的工作并不一定很大。现在这个列表可以被策略对象细分,下面几段中讨论的正是这一细分的过程。如果把所有文档放到企业内部网上,则不同的策略对象文档的制定和维护就会容易得多。通过使用浏览器链接,策略的阅读者就船陕速地访问只与他们相关的信息。例如,在大型银行,企业内部网根据职称来分离信息安全策略,员工只需要阅读直接与他们工作相关的策略。这些企业内部网也为搜索机制提供了关键字和索引,两者都能帮助读者快速找到与当前环境相关的策略。如今,企业内部网也用于管理员测验,以确保策略被清楚地理解。