策略制定方针中的实施阶段与维护阶段

实施阶段

在实施阶段中，策略制定团队开始制定策略。这可能是一个富有挑战性的过程，但一份好的策略文档并不必从头开始。有许多可供你支配的资源，包括：

*网络，你可以在上面搜索其他相似的策略。这里并不是要提倡大量地抄袭这些策略，而是鼓励你寻求在你的策略当中应该蕴涵的思想。例如，网络上有大量的关于公平和负责地使用各种技术的可用策略。但你可能找不到与敏感的内部文档和程序有关的策略。

*政府站点，如：http：//csrc.nist.gOv和http：//fasp. nist. gov/fasp/，其中含有许多策略示例和策略支持文档，包括SP800-12，An Introclucti'on to Computer Security:The NIST Hanclbook。当这些策略是特别针对或适用于联邦政府网站时，可以用其中一部分来满足你的机构的需要。

*专业文献，几位作者——其中最富盛名的：Charles Cresson Wood-已经出版了一些有关该课题的书籍。极其有名的是他的Information Security Policies Made Easy，该书不仅提供了超过l 000页的策略，而且还将这些策略形成电子格式，结尾部分注明了允许把它们用于内部文档。但使用这些资源时存在着使用警告，我们也许很容易就得到很多章节的策略，然而却是大量既不能出版也不能执行的文档。

*对等网络，其他信息安全专业人员需要制定相似的策略和执行相似的计划。

参加由信息系统安全协会（ 州r.lssa. org）召开的会议，邀请你的同事一起参加（像开篇章节中讲述的Iris所做的那样）。

专业顾问，在信息安全领域，策略制定工作无疑是由机构内部完成的，但如果你实在没有时间，那么，聘请外部顾问就是最后的选择了。记住，没有顾问能够比你更了解机构，顾问也只能简单地制定一般性策略，而你则要根据具体情况来采用。

在实施阶段，策略制定团队必须确保依照一定的标准：

确定策略是可实施的，一项不可行的策略，比如禁止员工之间讨论私人事务， 是无效的策略。

准备策略发布，这项工作并不总是如你想象的那样简单。光是在电子公告牌上传达策略是不够的，除非需要员工在指定时间（每日、每周等）阅读电子公告牌。策略在最终用户获知以前，不能强制执行。与民法和刑法不同的是， 对策略的忽视，在其宣传不力时，还是可接受的。在某些情况下，必须极力宣传策略或用其他语言和形式提供策略。

确定策略具有可读性，减少技术和管理术语，可读性统计是确定阅读水平的有用工具，它在多数产品程序组如Microsoft Worcl中均有提供。图4-9显示了该部分的可读性统计。

维护阶段

在维护阶段，策略制定团队根据需要监控、维护以及修改策略，以确保其始终是对付威胁变化的有效工具。策略应当具有一种固定的机制，用户通过它可以报告策略存在的问题，若是能够匿名则更好。