制定一個(gè)覆蓋矩陣

制定好需要關(guān)注領(lǐng)域的_張大致列表，在逐漸熟悉機(jī)構(gòu)對(duì)策略的表示方式以及使用方式以后，就可以使用指南中找到的策略。這時(shí)應(yīng)當(dāng)評(píng)估所涉及到的附加主題，評(píng)審策略標(biāo)題以及策略本身并跳過附隨的注解。這項(xiàng)工作一般通過使用指南副本和標(biāo)記（諸如黃色標(biāo)記）等措施快速完成。

應(yīng)當(dāng)對(duì)機(jī)構(gòu)需求的響應(yīng)進(jìn)行分類。另一種做法是，在做完內(nèi)部審計(jì)報(bào)告或者制定出信息安全指南以后，4應(yīng)當(dāng)模式化所處理領(lǐng)域的分類結(jié)果。分段控制的另一 個(gè)方法是，更詳細(xì)地劃分階段控制目標(biāo)，例如“避免”、“預(yù)防”、“阻止”、“檢測(cè)”、 “緩解”、“恢復(fù)”、“修正”等控制目標(biāo)。

這時(shí)應(yīng)當(dāng)制定一個(gè)反映所涉及主題的簡略高級(jí)總綱。針對(duì)每一小結(jié)涉及的主題所給出的例子，該總綱如果附帶有簡短的解釋將會(huì)更好。這個(gè)解釋可以是一 兩句話，或者只是足以給涉及的主題提供預(yù)覽就可以了。這時(shí)最好把高級(jí)總綱針對(duì)有關(guān)利益各方進(jìn)行分配，然后把收到的具有建設(shè)性的反饋意見納入總綱中。

此時(shí)，必須決定這些消息是針對(duì)哪些適當(dāng)?shù)牟呗詫?duì)象。通常，因?yàn)槊總€(gè)對(duì)象有各自不同的需要，所以應(yīng)當(dāng)把這些策略側(cè)重于幾個(gè)差別較大的對(duì)象。例如，最終用戶也許會(huì)收到一個(gè)需要記住的小冊(cè)子，上面寫有大量重要信息的安全策略。關(guān)鍵點(diǎn)可能是桌面信息安全規(guī)則。同時(shí)，系統(tǒng)開發(fā)者和其他技術(shù)人員收到大量更長的包含更多細(xì)節(jié)的文檔，作為系統(tǒng)標(biāo)準(zhǔn)開發(fā)技術(shù)的一部分，也許這些文檔更關(guān)注安全問題。而管理層也許會(huì)得到另一種文檔，它主要涉及到信息所有者的任務(wù)。

盡管為不同的策略對(duì)象分別制定文檔聽起來似乎工作量很大，但是如果做出需要交流的基本信息表，則額外的工作并不一定很大。現(xiàn)在這個(gè)列表可以被策略對(duì)象細(xì)分，下面幾段中討論的正是這一細(xì)分的過程。如果把所有文檔放到企業(yè)內(nèi)部網(wǎng)上，則不同的策略對(duì)象文檔的制定和維護(hù)就會(huì)容易得多。通過使用瀏覽器鏈接，策略的閱讀者就船陜速地訪問只與他們相關(guān)的信息。例如，在大型銀行，企業(yè)內(nèi)部網(wǎng)根據(jù)職稱來分離信息安全策略，員工只需要閱讀直接與他們工作相關(guān)的策略。這些企業(yè)內(nèi)部網(wǎng)也為搜索機(jī)制提供了關(guān)鍵字和索引，兩者都能幫助讀者快速找到與當(dāng)前環(huán)境相關(guān)的策略。如今，企業(yè)內(nèi)部網(wǎng)也用于管理員測(cè)驗(yàn)，以確保策略被清楚地理解。