收集主要參考材料

信息安全策略應主要依靠機構(gòu)所處理和使用的信息特性推動制定。一個人應當熟悉機構(gòu)所處理的信息特性。信息的一個理想來源（或者說元數(shù)據(jù)）是數(shù)據(jù)字典。機構(gòu)為高層主管、董事會成員、兼并的候選對象以及戰(zhàn)略伙伴提供了內(nèi)部信息系統(tǒng)，對該系統(tǒng)的全面縱覽，也許能為策略制定工作提供有用的背景信息。 因為信息系統(tǒng)變更迅速，可用文檔極易過期。應當詢問有見識的員工，以準確地了解機構(gòu)當前處理的信息特性，具體包括：什么信息是敏感的、什么信息是有價值的以及什么信息是關鍵的。

當需要制定一整套信息安全策略時，應當參考一份近期的風險評估或信息技術審計，以便清楚地了解機構(gòu)當前的信息安全需要。一份記錄近期事件細節(jié)的損失文檔，在確定哪些是需要進一步注意的部分時，這都是較為有用的。策略文檔中也應當包含法律訴訟、投訴文檔以及其他的爭論資料。為了進一步了解存在的問題，可以召開相關人員會議，比如內(nèi)部法律辯護律師、物理安全主管、首席信息官、內(nèi)部審計主管以及人力資源主管。

為確定哪些部分需要進一步注意，應收集機構(gòu)當前所有其他相關的策略文檔。相關策略，包括應用系統(tǒng)開發(fā)策略、計算機操作策略、計算機設備購買策略、 人力資源策略、信息系統(tǒng)質(zhì)量控制策略以及物理安全策略。若可從其他同行業(yè)機構(gòu)那里獲得策略，也能提供有用的背景。如果目標機構(gòu)是另一機構(gòu)的附屬或分支，則應該獲得母機構(gòu)的策略作為參考。如果目標機構(gòu)是電子數(shù)據(jù)交換、增值網(wǎng)絡、多機構(gòu)網(wǎng)上商業(yè)協(xié)作，或其他多機構(gòu)網(wǎng)絡的參與者，就應當取得這些網(wǎng)絡策略，并對其進行評審。

當開發(fā)人員的時間和資源受到很大的限制；會跳過上述數(shù)據(jù)收集過程。數(shù)據(jù)收集過程一旦被大量簡化，管理層否決最后的文檔的可能性將增加。正是通過數(shù)據(jù)收集過程，才確認了管理層的信息安全觀。它涉及到的內(nèi)容主要包括已有策略、需要增加或修改的策略、怎樣通過管理來提高策略，機構(gòu)所面臨的惟一弱點以及其他必要的背景信息。如果沒有仔細地考慮這些背景信息，則新建的信息安全策略不可能與機構(gòu)的真正需求一致。

為準確制定策略而進行大量背景研究的另一個主要原因是為了確保策略文檔中的要求與管理目標相一致。如果提出一套與原有機構(gòu)標準明顯不一致的策略，那么信息安全策略的權威性也就蕩然無存。例如，高技術公司的員工在中途休息時間或下班后經(jīng)常從網(wǎng)上下載游戲，并在工作地點玩。而高層管理了解并默許這些行為。另一方面，公司明令禁止公物私用。這些明顯的不一致使公司的大多數(shù)員工認為，策略文檔是與自己不相關的。

用大量的時間進行背景研究的另一個重要理由，是弄清并定義與業(yè)務相關的機構(gòu)策略計劃方向。如果最高管理層同意并支持這一策略，那么新的或被修改的策略文檔就需要與這些策略方向相一致。例如，如果機構(gòu)決定再次集中當前分散的信息系統(tǒng)活動，并且這些活動是由一些分散的信息系統(tǒng)協(xié)調(diào)人員負責執(zhí)行，那么強調(diào)這些活動的策略文檔就與管理目標不一致，因而不可能獲得通過。

在制定策略以前，對現(xiàn)狀進行徹底研究的另一個理由是要弄清內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略文檔應當與已有的信息系統(tǒng)體系結(jié)構(gòu)相一致，并且對其完全支持。這不是針對信息安全體系結(jié)構(gòu)，而是針對信息系統(tǒng)體系結(jié)構(gòu)。一個信息安全策略文檔一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定。信息安全策略文檔的制定將允許信息安全體系結(jié)構(gòu)的制定。例如，允許通過因特網(wǎng)防火墻訪問的策略可使安全體系結(jié)構(gòu)具體化。它也有利于選擇和實施適當?shù)姆阑饓Ξa(chǎn)品。