信息安全策略創建步驟

 肯定應用範圍

在制訂安全策略以前一個必要的步驟是確認該策略所應用的範圍，例如是在整個組織仍是在某個部門。若是沒有明確範圍就制訂策略無異於無的放矢。

得到管理支持

事實上任何項目的推動都沒法離開管理層的支持，安全策略的實施也是如此。先從管理層得到足夠的承諾有不少好處，能夠爲後面的工做鋪平道路，還能夠了解組織整體上對安全策略的重視程度，並且與管理層的溝通也是將安全工做進一步導向更理想狀態的一個契機。

進行安全分析

這是一個常常被忽略的工做步驟，同時也是安全策略制訂工做中的一個重要步驟。這個步驟的主要目標是肯定須要進行保護的信息資產及其對組織的絕對和相對價值，在決定保護措施的時候須要參照這一步驟所得到的信息。進行這項工做時須要考慮的關鍵問題包括須要保護什麼、須要防範哪些威脅、受到***的可能性、在***發生時可能形成的損失、可以採起什麼防範措施、防範措施的成本和效果評估等等。

會見關鍵人員

一般來講至少應該與負責技術部門和負責業務部門的人員進行一些會議，在這些會議上應該向這些人員灌輸在分析階段所得出的結論並爭取這些人員的認同。若是有其它屬於安全策略應用範圍內的業務單位，那麼也應該讓起加入到這項工做。

制訂策略草案

一旦就應用範圍內的採集的信息達成一致並得到了組織內部足夠的支持，就能夠開始着手創建實際的策略了。這個策略版本會造成最終策略的框架和主要內容，並做爲最後的評估和確認工做的基準。

開展策略評估

在以前已經與管理層及與安全策略執行相關的主要人員進行了溝通，而該部分工做在以前的基礎上進一步與全部風險承擔者一同對安全策略進行確認，從而最終造成修正後的正式的策略版本。在這個階段會每每會有更多的人員參與進來，應該進一步爭取全部相關人員的支持，至少應該得到足夠的受權以保障安全策略的實施。

發佈安全策略

當安全策略完成以後還須要在組織內成功的進行發佈，使組織成員仔細閱讀並充分理解策略的內容。能夠經過組織主要的信息發佈渠道對安全策略進行普遍發佈，例如組織的內部信息系統、例會、培訓活動等等。

隨需修訂策略

隨着應用環境的變化，信息安全策略也必須隨之變化和發展纔可以繼續發揮做用。一般組織應該每一個季度進行一次策略的評估，每一年至少應該進行一次策略更新。

<原始發佈地址：http://www.mercso.com/advertorial/securitypolicy.html>