SP 800-18：信息技术系统安全计划开发指南二

检查安排( review schedule)

在不断变化的环境中，只有周期性地检查策略的流通性和准确性，做出修改以保持及时性，才能保持策略的有效性。正如第3章中提到的一样，为了确保应有的注意，一个机构必须证明它一直都不停地尝试去适应市场的需求。这对公有机构（政府机构、学术机构以及非营利机构）和私有机构（商业机构和盈利机构）都是适用的。所以，任何策略文档都必须包含精心组织的检查安排。在通常情况下，一个策略至少要一年检查一次。策略管理员，应该从所有受到影响的团体、管理和员工的代表处索取信息，然后根据这些信息来修改文档。

检查程序和实践( review procedures and practices)

为了便于策略检查，策略管理员应该实施一种机制，能方便地对策略进行修订并对其他相应文档提出建议。建议的方法包括电子邮件、办公室邮件或一个匿名投递箱。如果这个策略是有争议的，策略管理员可能会觉得匿名投票信息是最好的方法，以此来确定策略在执行的时候是否合适。因为在公开讨论会中，很多员工对管理层感到害怕，而不敢说出对策略的真实看法。

一旦策略被提交检查的时候，应当检查所有的建议，并且做出有利于管理的改变。附加的检查方法涉及到在检查程序中引入用户代表，并且允许他们直接提出对策略回顾的意见。在现实生活中，大多数策略都是由一个单独的责任人起草，然后由一个更高层的管理者检查，或者“签署成为法律”，但是，这种方法不应该排除对员工意见的收集和检查。

策略和修订日期( policy and revision date)

在有些机构中，策略没有一个起草时间和发布时间，使得用户没有留意到这个策略的生存期或者状态。如果员工们遵从一个“过时的”策略，这种实践会造成一些问题，包括法律问题，在反复无常的环境下，这种问题特别普遍。理想的策略文档应当包含它的开始日期（如果有的话）和修订日期。有一些策略可能需要一 个“日落条款”( sunset clause)，特别是当它们用于同另一个团体或机构进行短期联系时。有一个过期时间可以防止一个临时策略变成永久的错误。

最后一点需要注意之处(A final note on policy)

为避免读者认为需要策略的惟一原因是为了免于诉讼，强调策略的预防性是很重要的。策略存在的首要任务是告诉员工们，哪些行为是允许的，哪些行为是不允许的。开发策略的目的是促进员工的工作效率，并且防止潜在的尴尬情况。 最坏的情形下，一个员工可能由于不遵从策略而被开除。正如本章先前描述的那样，员工在策略方面应该受到恰当的教育。如果机构不能保证这一点，员工可台黾会为了错误的解雇而控告机构。刑事诉讼需要钱，机构可能就会因此受到经济上的损失而歇业，然后其他的员工也会失去赖以生存的工作，没有一方是最后的赢家。

在现实生活中，大部分员工出于本能愿意去做正确的事。如果在什么是允许的、什么是不允许的这个问题上给予恰当的教育，他们会选择遵从规定行为。大部分人都更喜欢能提供公平待遇的系统。如果他们知道犯错应受惩罚，当有人犯错被抓到并受到惩罚时，就不会引起不满。知道什么是禁止的以及会受到什么样的惩罚，惩罚会怎样执行，这是一个使员工专注于其手头工作的好办法。

除了法律规定的“没有被禁止就是被许可”之外，策略就代表着公司内部的法律。尽管在法律上反过来说也可以，但是策略却不行，并没有“没有被许可的就是被禁止”的默认说法。