信息安全策略创建步骤

 肯定应用范围

在制订安全策略以前一个必要的步骤是确认该策略所应用的范围，例如是在整个组织仍是在某个部门。若是没有明确范围就制订策略无异于无的放矢。

得到管理支持

事实上任何项目的推动都没法离开管理层的支持，安全策略的实施也是如此。先从管理层得到足够的承诺有不少好处，能够为后面的工做铺平道路，还能够了解组织整体上对安全策略的重视程度，并且与管理层的沟通也是将安全工做进一步导向更理想状态的一个契机。

进行安全分析

这是一个常常被忽略的工做步骤，同时也是安全策略制订工做中的一个重要步骤。这个步骤的主要目标是肯定须要进行保护的信息资产及其对组织的绝对和相对价值，在决定保护措施的时候须要参照这一步骤所得到的信息。进行这项工做时须要考虑的关键问题包括须要保护什么、须要防范哪些威胁、受到***的可能性、在***发生时可能形成的损失、可以采起什么防范措施、防范措施的成本和效果评估等等。

会见关键人员

一般来讲至少应该与负责技术部门和负责业务部门的人员进行一些会议，在这些会议上应该向这些人员灌输在分析阶段所得出的结论并争取这些人员的认同。若是有其它属于安全策略应用范围内的业务单位，那么也应该让起加入到这项工做。

制订策略草案

一旦就应用范围内的采集的信息达成一致并得到了组织内部足够的支持，就能够开始着手创建实际的策略了。这个策略版本会造成最终策略的框架和主要内容，并做为最后的评估和确认工做的基准。

开展策略评估

在以前已经与管理层及与安全策略执行相关的主要人员进行了沟通，而该部分工做在以前的基础上进一步与全部风险承担者一同对安全策略进行确认，从而最终造成修正后的正式的策略版本。在这个阶段会每每会有更多的人员参与进来，应该进一步争取全部相关人员的支持，至少应该得到足够的受权以保障安全策略的实施。

发布安全策略

当安全策略完成以后还须要在组织内成功的进行发布，使组织成员仔细阅读并充分理解策略的内容。能够经过组织主要的信息发布渠道对安全策略进行普遍发布，例如组织的内部信息系统、例会、培训活动等等。

随需修订策略

随着应用环境的变化，信息安全策略也必须随之变化和发展才可以继续发挥做用。一般组织应该每一个季度进行一次策略的评估，每一年至少应该进行一次策略更新。

<原始发布地址：http://www.mercso.com/advertorial/securitypolicy.html>