策略制定方针中的分析阶段

分析阶段

分析阶段应包括以下工作：

*一份近期的风险评估，或记录机构当前信息安全需要的IT审计表。该风险评估应包含所有损失记录以及以往的法律诉讼、投诉文档和由此造成的其他信息安全领域的负面影响。

*关键参考材料的收集，除了上面所提及的条款，还包括所有现有的策略。有时，影响信息安全的策略记录会存放于人力资源部门以及会计、财务、法律或公司的安全部门。

根据Charles Cresson Woocl:

由于一些人受到时间或资源限制，因而会尝试跳过以上所提的数据收集过程。无论何时，只要数据收集时间被大大缩短，管理层拒绝接受由此产生的文档记录的可能性就会增加。管理层的信息安全观正是通过这样的数据收集过程得以确立——已有的策略、需要增加或修改的策略、管理者如何增强策略、机构所面临的特殊漏洞，以及其他基本的背景信息。倘若对背景信息的考虑不够彻底，那么，新产生的信息安全策略就很难满足机构的真正需要。