信息安全策略制定过程的步骤清单一

清单是为了提供内部信息安全策略文档的制定、改善和批准的主要步骤和总概。策略文档制定后，要列出步骤（参见下一部分）。以下许多步骤可以同时进行，也可以采用与下面不同的顺序：

1.完成风险评估或信息技术审核，以确定一个机构独有的信息安全要求，这些要求一定要在策略文档中加以说明。

2.在机构内清楚表明“策略”一词的含义，避免总是在准备“标准”、“过程”或其他一些相关材料。

3.确保与信息安全有关的任务和责任已经分清，其中包括发布和维护策略的责任。

4.让管理层相信将信息安全策略文档化是明智的。

5.确定高层管理者中由谁来批准最后的信息安全文档，并确定所有有影响的评审人员。

6.收集和阅读所有已有的内部信息安全意识，并构造一个包含底层消息的表。

7.进行简要的内部调查以收集各种看法，这些看法在股东看来是应该收进新的或更新的信息安全策略中。

8.检查你所在机构所发布的策略（如来自人力资源管理的策略），确认主要的形式、风格、语调、篇幅及参考，其目标就是为了得到与原有设想相吻合的信息。

9.确认听众能收到信息安全策略材料，并确定放在内部网站上，每人是否可以得到不同的文档或不同的页面。

10.确定听众的理解程度、对计算机的精通程度以及对安全信息的敏悟程度， 包括理解围绕信息安全的企业文化。