信息安全策略制定简化方法之组织评审、批准和实施过程二

如果机构还没有管理委员会，那么现在制定信息安全策略正是计划建立这样一个委员会的良机，委员会一般由5-8名相关的专家组成，他们在信息安全领域是有影响的、能代表各自的部门及其专门技术领域。想了解更多关于这样一个委员会的信息，请参见《InformationSecurity Roles and Responsibilities Made Easy》。

在某些情形下，要组成制定信息安全策略的独立的委员会，而不管信息安全管理委员会是否存在，它可以是管理委员会的从属机构。这种可称为发展委员会建立以后，事实上并不应该由它来撰写策略，由各个委员会撰写的策略常常是不连贯的想法和缺乏组织的思想，不能形成完整的容易理解的文档。相反，应该由一个技术合格的人来单独起草，他具有良好的写作能力并熟悉机构业务活动。如果该个人是发展委员会中的一员，并负责撰写最初的策略草案，那么该发展委员会就可能是最有价值的。在此情形下，就可以利用该发展委员会确定需要解决的主题要求、预定出高水平的轮廓、确定策略的传播方式并提供修改建议。

如果缺少上面提到的委员会中的任何一个，我们就大力推荐尽早由专门的内部审计，人力资源和法律管理等部门轮流评审。这些部门是信息安全的重要同盟者，也会号召他们推行信息安全策略，如果草案没有这些人的颂扬，发布后也不会引起重视。基于这种理由，在撰写第一个草案前应该首先会见这些部门的高级成员，就是为了确保他们每个人都支持将要纳入策略文档的内容。即使在先前提到的两个委员会中，只能找到一两个成员代表，这样的会议也应当举行。

虽然预先制定了新的信息安全策略，还必须或很快有一个适当的实施过程， 如果这些策略不能得到实施，它们也将可能完全无效。不能得到执行的策略，可能比完全没有策略更糟，因为这样的策略会教会员工做假和容忍不正确的行为， 策略没有得到执行，这还可能麻痹管理者以为信息安全问题已经处理而现实却是另外一回事。

管理层常常以为员工行为当然以组织的最佳利益为重，这是一个危险而欠考虑的假设。虽然策略不可能影响员工的个人价值观，但管理层可以运用策略给员工提供机会，引导他们和组织的利益一致。策略告诉员工对他们的期望是什么——那就是，如果他们想要继续得到工作的话，这里假定员工个人利益和机构的利益间始终存在着分岐，那么只有建立适当而有效的服从机制，策略才会被认真执行。