如果機構(gòu)還沒有管理委員會，那么現(xiàn)在制定信息安全策略正是計劃建立這樣一個委員會的良機，委員會一般由5-8名相關(guān)的專家組成，他們在信息安全領(lǐng)域是有影響的、能代表各自的部門及其專門技術(shù)領(lǐng)域。想了解更多關(guān)于這樣一個委員會的信息，請參見《InformationSecurity Roles and Responsibilities Made Easy》。

在某些情形下，要組成制定信息安全策略的獨立的委員會，而不管信息安全管理委員會是否存在，它可以是管理委員會的從屬機構(gòu)。這種可稱為發(fā)展委員會建立以后，事實上并不應(yīng)該由它來撰寫策略，由各個委員會撰寫的策略常常是不連貫的想法和缺乏組織的思想，不能形成完整的容易理解的文檔。相反，應(yīng)該由一個技術(shù)合格的人來單獨起草，他具有良好的寫作能力并熟悉機構(gòu)業(yè)務(wù)活動。如果該個人是發(fā)展委員會中的一員，并負(fù)責(zé)撰寫最初的策略草案，那么該發(fā)展委員會就可能是最有價值的。在此情形下，就可以利用該發(fā)展委員會確定需要解決的主題要求、預(yù)定出高水平的輪廓、確定策略的傳播方式并提供修改建議。

如果缺少上面提到的委員會中的任何一個，我們就大力推薦盡早由專門的內(nèi)部審計，人力資源和法律管理等部門輪流評審。這些部門是信息安全的重要同盟者，也會號召他們推行信息安全策略，如果草案沒有這些人的頌揚，發(fā)布后也不會引起重視。基于這種理由，在撰寫第一個草案前應(yīng)該首先會見這些部門的高級成員，就是為了確保他們每個人都支持將要納入策略文檔的內(nèi)容。即使在先前提到的兩個委員會中，只能找到一兩個成員代表，這樣的會議也應(yīng)當(dāng)舉行。

雖然預(yù)先制定了新的信息安全策略，還必須或很快有一個適當(dāng)?shù)膶嵤┻^程， 如果這些策略不能得到實施，它們也將可能完全無效。不能得到執(zhí)行的策略，可能比完全沒有策略更糟，因為這樣的策略會教會員工做假和容忍不正確的行為， 策略沒有得到執(zhí)行，這還可能麻痹管理者以為信息安全問題已經(jīng)處理而現(xiàn)實卻是另外一回事。

管理層常常以為員工行為當(dāng)然以組織的最佳利益為重，這是一個危險而欠考慮的假設(shè)。雖然策略不可能影響員工的個人價值觀，但管理層可以運用策略給員工提供機會，引導(dǎo)他們和組織的利益一致。策略告訴員工對他們的期望是什么——那就是，如果他們想要繼續(xù)得到工作的話，這里假定員工個人利益和機構(gòu)的利益間始終存在著分岐，那么只有建立適當(dāng)而有效的服從機制，策略才會被認(rèn)真執(zhí)行。