收集主要參考材料

信息安全策略應(yīng)主要依靠機(jī)構(gòu)所處理和使用的信息特性推動(dòng)制定。一個(gè)人應(yīng)當(dāng)熟悉機(jī)構(gòu)所處理的信息特性。信息的一個(gè)理想來(lái)源（或者說(shuō)元數(shù)據(jù)）是數(shù)據(jù)字典。機(jī)構(gòu)為高層主管、董事會(huì)成員、兼并的候選對(duì)象以及戰(zhàn)略伙伴提供了內(nèi)部信息系統(tǒng)，對(duì)該系統(tǒng)的全面縱覽，也許能為策略制定工作提供有用的背景信息。 因?yàn)樾畔⑾到y(tǒng)變更迅速，可用文檔極易過(guò)期。應(yīng)當(dāng)詢問(wèn)有見(jiàn)識(shí)的員工，以準(zhǔn)確地了解機(jī)構(gòu)當(dāng)前處理的信息特性，具體包括：什么信息是敏感的、什么信息是有價(jià)值的以及什么信息是關(guān)鍵的。

當(dāng)需要制定一整套信息安全策略時(shí)，應(yīng)當(dāng)參考一份近期的風(fēng)險(xiǎn)評(píng)估或信息技術(shù)審計(jì)，以便清楚地了解機(jī)構(gòu)當(dāng)前的信息安全需要。一份記錄近期事件細(xì)節(jié)的損失文檔，在確定哪些是需要進(jìn)一步注意的部分時(shí)，這都是較為有用的。策略文檔中也應(yīng)當(dāng)包含法律訴訟、投訴文檔以及其他的爭(zhēng)論資料。為了進(jìn)一步了解存在的問(wèn)題，可以召開(kāi)相關(guān)人員會(huì)議，比如內(nèi)部法律辯護(hù)律師、物理安全主管、首席信息官、內(nèi)部審計(jì)主管以及人力資源主管。

為確定哪些部分需要進(jìn)一步注意，應(yīng)收集機(jī)構(gòu)當(dāng)前所有其他相關(guān)的策略文檔。相關(guān)策略，包括應(yīng)用系統(tǒng)開(kāi)發(fā)策略、計(jì)算機(jī)操作策略、計(jì)算機(jī)設(shè)備購(gòu)買(mǎi)策略、 人力資源策略、信息系統(tǒng)質(zhì)量控制策略以及物理安全策略。若可從其他同行業(yè)機(jī)構(gòu)那里獲得策略，也能提供有用的背景。如果目標(biāo)機(jī)構(gòu)是另一機(jī)構(gòu)的附屬或分支，則應(yīng)該獲得母機(jī)構(gòu)的策略作為參考。如果目標(biāo)機(jī)構(gòu)是電子數(shù)據(jù)交換、增值網(wǎng)絡(luò)、多機(jī)構(gòu)網(wǎng)上商業(yè)協(xié)作，或其他多機(jī)構(gòu)網(wǎng)絡(luò)的參與者，就應(yīng)當(dāng)取得這些網(wǎng)絡(luò)策略，并對(duì)其進(jìn)行評(píng)審。

當(dāng)開(kāi)發(fā)人員的時(shí)間和資源受到很大的限制；會(huì)跳過(guò)上述數(shù)據(jù)收集過(guò)程。數(shù)據(jù)收集過(guò)程一旦被大量簡(jiǎn)化，管理層否決最后的文檔的可能性將增加。正是通過(guò)數(shù)據(jù)收集過(guò)程，才確認(rèn)了管理層的信息安全觀。它涉及到的內(nèi)容主要包括已有策略、需要增加或修改的策略、怎樣通過(guò)管理來(lái)提高策略，機(jī)構(gòu)所面臨的惟一弱點(diǎn)以及其他必要的背景信息。如果沒(méi)有仔細(xì)地考慮這些背景信息，則新建的信息安全策略不可能與機(jī)構(gòu)的真正需求一致。

為準(zhǔn)確制定策略而進(jìn)行大量背景研究的另一個(gè)主要原因是為了確保策略文檔中的要求與管理目標(biāo)相一致。如果提出一套與原有機(jī)構(gòu)標(biāo)準(zhǔn)明顯不一致的策略，那么信息安全策略的權(quán)威性也就蕩然無(wú)存。例如，高技術(shù)公司的員工在中途休息時(shí)間或下班后經(jīng)常從網(wǎng)上下載游戲，并在工作地點(diǎn)玩。而高層管理了解并默許這些行為。另一方面，公司明令禁止公物私用。這些明顯的不一致使公司的大多數(shù)員工認(rèn)為，策略文檔是與自己不相關(guān)的。

用大量的時(shí)間進(jìn)行背景研究的另一個(gè)重要理由，是弄清并定義與業(yè)務(wù)相關(guān)的機(jī)構(gòu)策略計(jì)劃方向。如果最高管理層同意并支持這一策略，那么新的或被修改的策略文檔就需要與這些策略方向相一致。例如，如果機(jī)構(gòu)決定再次集中當(dāng)前分散的信息系統(tǒng)活動(dòng)，并且這些活動(dòng)是由一些分散的信息系統(tǒng)協(xié)調(diào)人員負(fù)責(zé)執(zhí)行，那么強(qiáng)調(diào)這些活動(dòng)的策略文檔就與管理目標(biāo)不一致，因而不可能獲得通過(guò)。

在制定策略以前，對(duì)現(xiàn)狀進(jìn)行徹底研究的另一個(gè)理由是要弄清內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略文檔應(yīng)當(dāng)與已有的信息系統(tǒng)體系結(jié)構(gòu)相一致，并且對(duì)其完全支持。這不是針對(duì)信息安全體系結(jié)構(gòu)，而是針對(duì)信息系統(tǒng)體系結(jié)構(gòu)。一個(gè)信息安全策略文檔一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定。信息安全策略文檔的制定將允許信息安全體系結(jié)構(gòu)的制定。例如，允許通過(guò)因特網(wǎng)防火墻訪問(wèn)的策略可使安全體系結(jié)構(gòu)具體化。它也有利于選擇和實(shí)施適當(dāng)?shù)姆阑饓Ξa(chǎn)品。