信息安全策略制定过程的下一步一

下一步

信息安全策略通过后，有很多步骤可供挑选，以下列出的步骤只提供了一些参考，并非想提供所有可能步骤的全面列表。以下建议的步骤，虽然不是所有条款都适用于所有的机构，但一般都会遇到。这些建议步骤应该作为一个起点来开始制定信息安全策略执行计划，它们差不多是以年月日J顺序进行组织，也可以单个处理。更好的选择是几步同时进行，以便取得显著进展。

很明显，还存在着许多其他项目，它们源于最初制定信息安全策略文档的结果。例如，开始制定策略的准备工作可能说明了这样一个事实——那就是已有的信息安全需求已经过时。一个具体例子就是拨号访问机构网络的信号回叫技术( callback technology)，如果该需求在机构内部被广泛接受，那么采用选择当前更好方案的工作可能就要作为另一个项目补充到项目计划中。按照这个具体实例， 就能采用动态的口令令牌以代替信号回叫系统。

在企业内部网或相似媒体上发布策略——新文档应该放在X公司企业内部网上，加入相关文档的链接。准备多种目录让用户能很快定位感兴趣的材料，并加入关键字搜索引擎。其他的电子公告牌类，也能包含如人力资源库等文档。

制定自我评估调查表——在薪的信息安全策略文档有重要的需求时，应该将需要抽取出来并重新填人调查表，内部审计中也应该对部门管理者公布调查表。 对调查表做出反应，就能明确哪些部门没有遵守好、哪些地方需要额外加强控制。 基于调查结果，也许能提出修复项目。调查表可以做为内部守则检查审计过程的一部分制定修订的用户ID发布表——在许多机构织中，表格是证明管理层批准应当优先于用户ID发布表的一种方式。在新的信息安全策略文档中总结重要的思想，这应该作为该表格的组成部分，其中包括的说法如：“以下提到的用户，已经阅读和遵守X公司的信息安全策略，并将此作为持续使用X公司信息系统的条件。 该表只有在经过签名之后，所有新用户或重新发布的用户ID才会生效。”

制定遵守信息安全策略的员工协议表——应当起草、编辑一个反映员工该如何遵守信息安全策略的法律协议表，然后该协议要经由管理层签署同意。这个表应该让所有员工签名，或者至少让所有新招的或保留下来的员工签名。应当启动一个意识提升项目来宣传新的策略文档，然后获得经员工签名的表单。