如果機構還沒有管理委員會，那么現在制定信息安全策略正是計劃建立這樣一個委員會的良機，委員會一般由5-8名相關的專家組成，他們在信息安全領域是有影響的、能代表各自的部門及其專門技術領域。想了解更多關于這樣一個委員會的信息，請參見《InformationSecurity Roles and Responsibilities Made Easy》。

在某些情形下，要組成制定信息安全策略的獨立的委員會，而不管信息安全管理委員會是否存在，它可以是管理委員會的從屬機構。這種可稱為發展委員會建立以后，事實上并不應該由它來撰寫策略，由各個委員會撰寫的策略常常是不連貫的想法和缺乏組織的思想，不能形成完整的容易理解的文檔。相反，應該由一個技術合格的人來單獨起草，他具有良好的寫作能力并熟悉機構業務活動。如果該個人是發展委員會中的一員，并負責撰寫最初的策略草案，那么該發展委員會就可能是最有價值的。在此情形下，就可以利用該發展委員會確定需要解決的主題要求、預定出高水平的輪廓、確定策略的傳播方式并提供修改建議。

如果缺少上面提到的委員會中的任何一個，我們就大力推薦盡早由專門的內部審計，人力資源和法律管理等部門輪流評審。這些部門是信息安全的重要同盟者，也會號召他們推行信息安全策略，如果草案沒有這些人的頌揚，發布后也不會引起重視?；谶@種理由，在撰寫第一個草案前應該首先會見這些部門的高級成員，就是為了確保他們每個人都支持將要納入策略文檔的內容。即使在先前提到的兩個委員會中，只能找到一兩個成員代表，這樣的會議也應當舉行。

雖然預先制定了新的信息安全策略，還必須或很快有一個適當的實施過程， 如果這些策略不能得到實施，它們也將可能完全無效。不能得到執行的策略，可能比完全沒有策略更糟，因為這樣的策略會教會員工做假和容忍不正確的行為， 策略沒有得到執行，這還可能麻痹管理者以為信息安全問題已經處理而現實卻是另外一回事。

管理層常常以為員工行為當然以組織的最佳利益為重，這是一個危險而欠考慮的假設。雖然策略不可能影響員工的個人價值觀，但管理層可以運用策略給員工提供機會，引導他們和組織的利益一致。策略告訴員工對他們的期望是什么——那就是，如果他們想要繼續得到工作的話，這里假定員工個人利益和機構的利益間始終存在著分岐，那么只有建立適當而有效的服從機制，策略才會被認真執行。