該階段應(yīng)當(dāng)完成的研究工作包括：原有策略的制定方式、一些術(shù)語(yǔ)的使用、記錄策略的傳統(tǒng)格式、策略編號(hào)和命名系統(tǒng)、策略和其他管理元素之間的關(guān)聯(lián)項(xiàng)（比如過程與標(biāo)準(zhǔn)等）。例如，原有策略通常使用“必須”這一詞，為了維持一致性，信息安全策略也應(yīng)當(dāng)使用“必須”這一詞。同樣，原有策略也許采用軍用式的編號(hào)系統(tǒng)或者完全不同的樣式。一個(gè)信息安全策略的發(fā)布一直是有爭(zhēng)議的問題，不管內(nèi)部策略樣式指導(dǎo)方針制定與否，都不要由于未能與這些方針不一致而給批評(píng)家更多的話題。

原有策略要求，對(duì)機(jī)構(gòu)策略聲明的詳細(xì)等級(jí)進(jìn)行評(píng)審。機(jī)構(gòu)也許已經(jīng)用了特定的術(shù)語(yǔ)來(lái)定義原有策略，在這些策略中，采用詳細(xì)的信息安全策略聲明也是比較恰當(dāng)?shù)模涣硪环N情形是，這些機(jī)構(gòu)也許用了非常高級(jí)的術(shù)語(yǔ)來(lái)定義策略，這時(shí)也許只有采用概要的信息安全聲明是恰當(dāng)?shù)?。也許兩種選擇同時(shí)存在，那么分離的策略可面向不同的策略對(duì)象。從某種角度上講，策略的詳細(xì)等級(jí)是由管理層對(duì)員工的信任程度所決定的；也是由員工對(duì)文檔具體要求的遵守程度所決定的；以及由員工對(duì)正在解決的問題的熟悉程度所決定的。

內(nèi)部策略中的一些信息（諸如表示方法、策略使用、使用方法、詳細(xì)等級(jí)等）很少被記錄，但是通過檢查原有策略聲明可以獲得這些信息。在一些超大型機(jī)構(gòu)中也許存在一些文檔，可給策略制定過程提供方向。在一些大型機(jī)構(gòu)中，策略和計(jì)劃小組的內(nèi)部員工能夠幫助策略制定工作。不管是否能夠獲得外部的指導(dǎo)或內(nèi)部的咨詢輔助，為了確保即時(shí)的采用，應(yīng)當(dāng)采用與原有策略類似的方法，來(lái)制定新的或修改的信息安全策略，這些方法的形式與原有策略應(yīng)該沒有本質(zhì)區(qū)別。