信息安全策略制定简化方法之制定一个覆盖矩阵一

制定一个覆盖矩阵

制定好需要关注领域的_张大致列表，在逐渐熟悉机构对策略的表示方式以及使用方式以后，就可以使用指南中找到的策略。这时应当评估所涉及到的附加主题，评审策略标题以及策略本身并跳过附随的注解。这项工作一般通过使用指南副本和标记（诸如黄色标记）等措施快速完成。

应当对机构需求的响应进行分类。另一种做法是，在做完内部审计报告或者制定出信息安全指南以后，4应当模式化所处理领域的分类结果。分段控制的另一 个方法是，更详细地划分阶段控制目标，例如“避免”、“预防”、“阻止”、“检测”、 “缓解”、“恢复”、“修正”等控制目标。

这时应当制定一个反映所涉及主题的简略高级总纲。针对每一小结涉及的主题所给出的例子，该总纲如果附带有简短的解释将会更好。这个解释可以是一 两句话，或者只是足以给涉及的主题提供预览就可以了。这时最好把高级总纲针对有关利益各方进行分配，然后把收到的具有建设性的反馈意见纳入总纲中。

此时，必须决定这些消息是针对哪些适当的策略对象。通常，因为每个对象有各自不同的需要，所以应当把这些策略侧重于几个差别较大的对象。例如，最终用户也许会收到一个需要记住的小册子，上面写有大量重要信息的安全策略。关键点可能是桌面信息安全规则。同时，系统开发者和其他技术人员收到大量更长的包含更多细节的文档，作为系统标准开发技术的一部分，也许这些文档更关注安全问题。而管理层也许会得到另一种文档，它主要涉及到信息所有者的任务。

尽管为不同的策略对象分别制定文档听起来似乎工作量很大，但是如果做出需要交流的基本信息表，则额外的工作并不一定很大。现在这个列表可以被策略对象细分，下面几段中讨论的正是这一细分的过程。如果把所有文档放到企业内部网上，则不同的策略对象文档的制定和维护就会容易得多。通过使用浏览器链接，策略的阅读者就船陕速地访问只与他们相关的信息。例如，在大型银行，企业内部网根据职称来分离信息安全策略，员工只需要阅读直接与他们工作相关的策略。这些企业内部网也为搜索机制提供了关键字和索引，两者都能帮助读者快速找到与当前环境相关的策略。如今，企业内部网也用于管理员测验，以确保策略被清楚地理解。