實(shí)施階段

在實(shí)施階段中，策略制定團(tuán)隊(duì)開始制定策略。這可能是一個(gè)富有挑戰(zhàn)性的過程，但一份好的策略文檔并不必從頭開始。有許多可供你支配的資源，包括：

*網(wǎng)絡(luò)，你可以在上面搜索其他相似的策略。這里并不是要提倡大量地抄襲這些策略，而是鼓勵(lì)你尋求在你的策略當(dāng)中應(yīng)該蘊(yùn)涵的思想。例如，網(wǎng)絡(luò)上有大量的關(guān)于公平和負(fù)責(zé)地使用各種技術(shù)的可用策略。但你可能找不到與敏感的內(nèi)部文檔和程序有關(guān)的策略。

*政府站點(diǎn)，如：http：//csrc.nist.gOv和http：//fasp. nist. gov/fasp/，其中含有許多策略示例和策略支持文檔，包括SP800-12，An Introclucti'on to Computer Security:The NIST Hanclbook。當(dāng)這些策略是特別針對或適用于聯(lián)邦政府網(wǎng)站時(shí)，可以用其中一部分來滿足你的機(jī)構(gòu)的需要。

*專業(yè)文獻(xiàn)，幾位作者——其中最富盛名的：Charles Cresson Wood-已經(jīng)出版了一些有關(guān)該課題的書籍。極其有名的是他的Information Security Policies Made Easy，該書不僅提供了超過l 000頁的策略，而且還將這些策略形成電子格式，結(jié)尾部分注明了允許把它們用于內(nèi)部文檔。但使用這些資源時(shí)存在著使用警告，我們也許很容易就得到很多章節(jié)的策略，然而卻是大量既不能出版也不能執(zhí)行的文檔。

*對等網(wǎng)絡(luò)，其他信息安全專業(yè)人員需要制定相似的策略和執(zhí)行相似的計(jì)劃。

參加由信息系統(tǒng)安全協(xié)會(huì)（ 州r.lssa. org）召開的會(huì)議，邀請你的同事一起參加（像開篇章節(jié)中講述的Iris所做的那樣）。

專業(yè)顧問，在信息安全領(lǐng)域，策略制定工作無疑是由機(jī)構(gòu)內(nèi)部完成的，但如果你實(shí)在沒有時(shí)間，那么，聘請外部顧問就是最后的選擇了。記住，沒有顧問能夠比你更了解機(jī)構(gòu)，顧問也只能簡單地制定一般性策略，而你則要根據(jù)具體情況來采用。

在實(shí)施階段，策略制定團(tuán)隊(duì)必須確保依照一定的標(biāo)準(zhǔn)：

確定策略是可實(shí)施的，一項(xiàng)不可行的策略，比如禁止員工之間討論私人事務(wù)， 是無效的策略。

準(zhǔn)備策略發(fā)布，這項(xiàng)工作并不總是如你想象的那樣簡單。光是在電子公告牌上傳達(dá)策略是不夠的，除非需要員工在指定時(shí)間（每日、每周等）閱讀電子公告牌。策略在最終用戶獲知以前，不能強(qiáng)制執(zhí)行。與民法和刑法不同的是， 對策略的忽視，在其宣傳不力時(shí)，還是可接受的。在某些情況下，必須極力宣傳策略或用其他語言和形式提供策略。

確定策略具有可讀性，減少技術(shù)和管理術(shù)語，可讀性統(tǒng)計(jì)是確定閱讀水平的有用工具，它在多數(shù)產(chǎn)品程序組如Microsoft Worcl中均有提供。圖4-9顯示了該部分的可讀性統(tǒng)計(jì)。

維護(hù)階段

在維護(hù)階段，策略制定團(tuán)隊(duì)根據(jù)需要監(jiān)控、維護(hù)以及修改策略，以確保其始終是對付威脅變化的有效工具。策略應(yīng)當(dāng)具有一種固定的機(jī)制，用戶通過它可以報(bào)告策略存在的問題，若是能夠匿名則更好。