下一步

信息安全策略通過后，有很多步驟可供挑選，以下列出的步驟只提供了一些參考，并非想提供所有可能步驟的全面列表。以下建議的步驟，雖然不是所有條款都適用于所有的機構(gòu)，但一般都會遇到。這些建議步驟應該作為一個起點來開始制定信息安全策略執(zhí)行計劃，它們差不多是以年月日J順序進行組織，也可以單個處理。更好的選擇是幾步同時進行，以便取得顯著進展。

很明顯，還存在著許多其他項目，它們源于最初制定信息安全策略文檔的結(jié)果。例如，開始制定策略的準備工作可能說明了這樣一個事實——那就是已有的信息安全需求已經(jīng)過時。一個具體例子就是撥號訪問機構(gòu)網(wǎng)絡(luò)的信號回叫技術(shù)( callback technology)，如果該需求在機構(gòu)內(nèi)部被廣泛接受，那么采用選擇當前更好方案的工作可能就要作為另一個項目補充到項目計劃中。按照這個具體實例， 就能采用動態(tài)的口令令牌以代替信號回叫系統(tǒng)。

在企業(yè)內(nèi)部網(wǎng)或相似媒體上發(fā)布策略——新文檔應該放在X公司企業(yè)內(nèi)部網(wǎng)上，加入相關(guān)文檔的鏈接。準備多種目錄讓用戶能很快定位感興趣的材料，并加入關(guān)鍵字搜索引擎。其他的電子公告牌類，也能包含如人力資源庫等文檔。

制定自我評估調(diào)查表——在薪的信息安全策略文檔有重要的需求時，應該將需要抽取出來并重新填人調(diào)查表，內(nèi)部審計中也應該對部門管理者公布調(diào)查表。 對調(diào)查表做出反應，就能明確哪些部門沒有遵守好、哪些地方需要額外加強控制。 基于調(diào)查結(jié)果，也許能提出修復項目。調(diào)查表可以做為內(nèi)部守則檢查審計過程的一部分制定修訂的用戶ID發(fā)布表——在許多機構(gòu)織中，表格是證明管理層批準應當優(yōu)先于用戶ID發(fā)布表的一種方式。在新的信息安全策略文檔中總結(jié)重要的思想，這應該作為該表格的組成部分，其中包括的說法如：“以下提到的用戶，已經(jīng)閱讀和遵守X公司的信息安全策略，并將此作為持續(xù)使用X公司信息系統(tǒng)的條件。 該表只有在經(jīng)過簽名之后，所有新用戶或重新發(fā)布的用戶ID才會生效。”

制定遵守信息安全策略的員工協(xié)議表——應當起草、編輯一個反映員工該如何遵守信息安全策略的法律協(xié)議表，然后該協(xié)議要經(jīng)由管理層簽署同意。這個表應該讓所有員工簽名，或者至少讓所有新招的或保留下來的員工簽名。應當啟動一個意識提升項目來宣傳新的策略文檔，然后獲得經(jīng)員工簽名的表單。