制定信息安全藍圖，這個藍圖描述了現存的控制并且確定出其他必要的安全控制。藍圖和框架這兩個術語很接近：框架是對更為詳盡的藍圖的概述，藍圖作為設計、選擇和實施所有后續安全控制的基礎，包括信息安全策略、安全教育和培訓項目以及技術控制。

大多數機構都利用已經建立的安全模型和實踐來設計安全藍圖，安全模型是由服務機構提供的通用藍圖。有一些模型屬于私有財產，需支付很高的費用；其他的相對來說不那么昂貴，如ISO標準；還有一些是免費的，可以從國家標準技術委員會和許多其他的來源獲得。你所選擇的模型必須靈活、可升級、可靠并且足夠詳細。

創建藍圖的另一個方法是參考其他機構采取的辦法，在此參照下，可以采用最佳實踐或者行業標準。參照法能夠提供應該考慮的控制細節，但是它不提供如何將控制付諸實踐的實施細節。 ’

改進或者采納現存的安全管理模型或經驗，也是一種選擇方法。現在已經有一些公開發布的安全模型和框架，后面將提到政府機構使用的模型和框架。每一 個信息安全環境都是獨一無二的，你可能需要做出修改或者擷取多個框架的部分內容。