信息安全策略制定过程的下一步二

建立考试机制以检查员工是否理解了策略——应该有一系列的考试和调查确定员工是否理解安全策略文档中的重点。通过这些考试和调查确定是否要增加培训和通告。这些考试和检查也能作为能够具有某些特权的必要过程。例如， 一个员工只有通过一次考试或检查才可以远程办公。

培训信息安全协调人员——在信息安全协调人员能正式工作前，他们要接受培训，半天的培训课程，可让他们熟悉新信息安全策略文档的要求、现有的机构资源和处理各种问题的最佳方式，如断电、黑客攻击、还有计算机病毒感染，推荐使用本地信息安全协调人员手册。

准备和发布基础信息安全培训课程——为X公司中的所有员工准备培训大纲。策略文档是培训和意识提升的主要来源。另外各种材料（如公司的操作编号），在准备课程时也要加以利用，这些课使用了几次后，可能需要修改，然后通过录像带或基于计算机的培训软件存档。在许多情况下，不同策略对象可能要不同的培训课程。策略对象包括新招聘的员工、当前需要额外培训的员工、系统管理员、网络管理员、可能被任命的信息安全协调员、系统分析员、应用程序设计师，相关系统的项目经理、系统质量保障人员和别的没有信息安全协调能力的技术员工。

制定特殊应用的信息安全策略——某些高度敏感的应用软件需要额外的特殊应用策略和操作过程。现在已经准备了新的信息安全策略文档，另外要求为高风险的应用系统制定更详细的策略和相关需求。某些更复杂的计算环境，不仅仅包含应用系统，如互联网电子商务，因此就要保证更详细的策略和操作过程。下述概念层次用于描述这些特殊应用文档和新的信息安全策略之间的关系。

制定信息安全需求的概念层次——信息安全领域是复杂的，复杂性表现在定义信息安全需求的各种文档中。在许多机构中，这些包括标准、指导方针、策略、 手续和体系结构。通用信息安全策略文档应在概念层次的顶部，而相关应用信息安全策略文档位于下面。标准、指导方针、操作过程和别的文档要通过整个机构的信息安全策略声明加以控制。当一些文档被采用时，概念层次应当指明；当存在冲突时哪些文档优先、哪些文档是当前的、哪些是过时的。这个概念层次对于培训和意识提升是有用的，也可以放在公司的信息安全企业网页上。

分配信息所有权和保管责任——具体的信息管理所有权，应该根据信息安全文档中定义的需求落实到直接责任人。在所有权被分配以后，接下来要确定保管责任角色。

建立一个信息安全管理委员会——为了监督正在进行中的各种信息安全活动，应该建立一个委员会，这个委员会要有X公司各个主要部门的中层领导，它保障现行和提议的信息安全活动和业务目标一致，而不是向信息安全部门提供任何具体的技术帮助。这个委员会在将建议提交给上层管理者之前，首先要他们自己达成一致，一般每一季度聚集一次，它的使命书和相关详细资料能够在《Information Security Roles and Responsibilities Macle Easy》这本书中找到。

制定一个信息安全体系结构文档——即使在策略文档里详细叙述了信息安全的基本规则，大多数情况下也有必要为设计安全系统构筑一个宏伟的设想。机构越大，越需要这样的文档。在这些机构里复杂性越来越成为一个问题。体系结构应该指定现在和不久的将来会用到的控制，提供一个计划保证不久的将来由于情况的变化，机构必须改变控制信息系统的方式时，这种改变能够被接受。一些机构也使用一个体系结构文档来指定已经被批准的信息安全产品和相关供应商。 体系结构处理系统接口、技术标准和其他的技术考虑，而不仅是策略文档。