信息安全策略制定简化方法之定义策略框架二

该阶段应当完成的研究工作包括：原有策略的制定方式、一些术语的使用、记录策略的传统格式、策略编号和命名系统、策略和其他管理元素之间的关联项（比如过程与标准等）。例如，原有策略通常使用“必须”这一词，为了维持一致性，信息安全策略也应当使用“必须”这一词。同样，原有策略也许采用军用式的编号系统或者完全不同的样式。一个信息安全策略的发布一直是有争议的问题，不管内部策略样式指导方针制定与否，都不要由于未能与这些方针不一致而给批评家更多的话题。

原有策略要求，对机构策略声明的详细等级进行评审。机构也许已经用了特定的术语来定义原有策略，在这些策略中，采用详细的信息安全策略声明也是比较恰当的；另一种情形是，这些机构也许用了非常高级的术语来定义策略，这时也许只有采用概要的信息安全声明是恰当的。也许两种选择同时存在，那么分离的策略可面向不同的策略对象。从某种角度上讲，策略的详细等级是由管理层对员工的信任程度所决定的；也是由员工对文档具体要求的遵守程度所决定的；以及由员工对正在解决的问题的熟悉程度所决定的。

内部策略中的一些信息（诸如表示方法、策略使用、使用方法、详细等级等）很少被记录，但是通过检查原有策略声明可以获得这些信息。在一些超大型机构中也许存在一些文档，可给策略制定过程提供方向。在一些大型机构中，策略和计划小组的内部员工能够帮助策略制定工作。不管是否能够获得外部的指导或内部的咨询辅助，为了确保即时的采用，应当采用与原有策略类似的方法，来制定新的或修改的信息安全策略，这些方法的形式与原有策略应该没有本质区别。