策略制定方針

通常，將策略制定看成一種兩階段式的工程是很有用的。工程的第一階段是設計和制定策略（或將過時的策略重新設計和改寫），而第二階段則是為策略在機構內部有效延續建立管理程序。前者是一種工程管理實施過程，而后者則需要不斷地進行高質量的業務實踐。

策略項目

與其他IT工程一樣，一項策略的制定與再制定工程應該計劃完備、投資合理以及管理積極，從而確保其能夠按時完成和不超出預算。系統開發生命周期( SDLC)是實現這個目標的一種途徑。在第2章中，你已經對SDLC的一種形式很熟悉了，即安全系統開發生命周期( SecSDLC)。接下來的討論將圍繞策略制定來詳細敘述SecSDLC。在第12章中，你將進一步了解信息安全領域的工程管理。

當進行一項策略制定工程時，可以用SecSDLC過程對其進行指導。接下來的部分中將講述SecSDLC中每一階段的任務。