信息安全策略制定简化方法之组织评审、批准和实施过程三

新策略发布前，应在内部审计部门或信息技术审计部门内讨论如何使策略得以实施，其中包括检查执行情况的工具，如软件许可管理系统。也要考虑到引导人工定期检查执行情况的困难和是否明智，也应当预见完成这种检查的方式和方法。人力资源策略，诸如纪律执行过程和雇员业绩评估过程，都需要在撰写策略前预先讨论。

许多情况下，当在企业内部网上能够找到用于资料保密协议( NDAs)的计算机化的工具时，并且让所有员工能够访问，则有助于员工遵守策略。无论在任何时候需要NDAs，用户都能简单地打印得自服务器的相关表格，工具能够较容易获取，这有助于用户把信息安全策略转化到实际活动中。

策略的执行并不困难，可以考虑运用特殊过程来做到这一点。例如，如果机密资料放在桌面上，就取走它，并留下一张收条，让员工知道如何重新找回资料； 第二次，如果机密材料泄漏，员工和管理者都必须重新找回那些资料；第三次就要求员工、管理者和副总裁都去做；第四次，就有理由解雇有关人员。

如果员工能意识到哪些行为违反了信息安全策略，并且会受到相应的惩罚， 那么策略的执行会更加有效。通过信息安全意识提升项目，建立明确的期望，这是整套策略有效和可实施的重要组成部分。这样的意识项目，举个例子，应清楚地声明企业信息是公司的财产，没有管理者的同意不能复制、修改、删除或无目的地使用。

发现和惩罚违反策略的员工并不是目的。虽然对违规者进行惩罚是必要的， 但强制机制的目的不是产生大量的违反通告。如果大量的人都不遵守，这就表明策略和相关的意识提升项目是无效的。在此情形下，策略后面的意图需要以更有效的方式进行传达，或者策略需要修改，以便更好地反映机构文化或主流运作环境。