新策略發(fā)布前，應(yīng)在內(nèi)部審計部門或信息技術(shù)審計部門內(nèi)討論如何使策略得以實施，其中包括檢查執(zhí)行情況的工具，如軟件許可管理系統(tǒng)。也要考慮到引導(dǎo)人工定期檢查執(zhí)行情況的困難和是否明智，也應(yīng)當(dāng)預(yù)見完成這種檢查的方式和方法。人力資源策略，諸如紀(jì)律執(zhí)行過程和雇員業(yè)績評估過程，都需要在撰寫策略前預(yù)先討論。

許多情況下，當(dāng)在企業(yè)內(nèi)部網(wǎng)上能夠找到用于資料保密協(xié)議( NDAs)的計算機化的工具時，并且讓所有員工能夠訪問，則有助于員工遵守策略。無論在任何時候需要NDAs，用戶都能簡單地打印得自服務(wù)器的相關(guān)表格，工具能夠較容易獲取，這有助于用戶把信息安全策略轉(zhuǎn)化到實際活動中。

策略的執(zhí)行并不困難，可以考慮運用特殊過程來做到這一點。例如，如果機密資料放在桌面上，就取走它，并留下一張收條，讓員工知道如何重新找回資料； 第二次，如果機密材料泄漏，員工和管理者都必須重新找回那些資料；第三次就要求員工、管理者和副總裁都去做；第四次，就有理由解雇有關(guān)人員。

如果員工能意識到哪些行為違反了信息安全策略，并且會受到相應(yīng)的懲罰， 那么策略的執(zhí)行會更加有效。通過信息安全意識提升項目，建立明確的期望，這是整套策略有效和可實施的重要組成部分。這樣的意識項目，舉個例子，應(yīng)清楚地聲明企業(yè)信息是公司的財產(chǎn)，沒有管理者的同意不能復(fù)制、修改、刪除或無目的地使用。

發(fā)現(xiàn)和懲罰違反策略的員工并不是目的。雖然對違規(guī)者進行懲罰是必要的， 但強制機制的目的不是產(chǎn)生大量的違反通告。如果大量的人都不遵守，這就表明策略和相關(guān)的意識提升項目是無效的。在此情形下，策略后面的意圖需要以更有效的方式進行傳達，或者策略需要修改，以便更好地反映機構(gòu)文化或主流運作環(huán)境。