11.決定在信息安全策略公布前是不是還必須做出別的努力。例如，說明信息安全本身已經(jīng)成為生產(chǎn)的重要因素。

12.運用來自風險評估的思想，準備一個必須要傳達的絕對重要的策略信息表。參考策略聲明以及本書中的策略實例。

13.如果策略對象不止一個，就要讓他們與覆蓋矩陣中的底層信息相匹配。

14.確定策略材料如何分發(fā)，注意每種傳播媒體的局限性和含義，推薦采用企業(yè)內(nèi)部網(wǎng)。

15.評審檢查遵守過程、訓練過程和執(zhí)行過程，以確保承載策略文檔的所有這些過程能順利運行。

16.確定信息量是不是過多，一次難以處理，如果確實如此，找出可以分不同時間分發(fā)的各類材料。

17.在第一個文檔中應包含主題的綱要，由幾位股東評審，信息安全管理委員會是理想的評審機構(gòu)。

18.基于從股東那里得到的意見，修改最初的綱要并且準備第一份草案。

19.把第一份草案給股東評審，以得到他們最初的反應、建議和執(zhí)行意見。 ⑩根據(jù)股東的意見修改草案，估計這一步可能會重復幾次。

20.請求高層管理者批準策略，修改可能是必要的，在此情形下，這一步要重復幾次。

21.準備一個策略文檔摘要，例如，一張由用戶設(shè)計的表格，用來接收新的或更新的用戶ID和密碼。

22.制定一個意識提升項目，將策略文檔作為想法和需求的源頭。

23.創(chuàng)建工作文檔備忘錄，把評審者的意見記錄在里面，即使內(nèi)容并沒有改變也應如此。

24.撰寫一份備忘錄，記錄項目、你所學的知識以及需要固定下來的思想，以便使下一次的策略文檔更加有效，并更能為讀者所接受，也能夠?qū)δ闼跈C構(gòu)所面臨的環(huán)境做出更好的響應。

25.按照策略文檔中的要求，列出下面要進行的每一個步驟，這些步驟包括創(chuàng)建信息安全框架、手工操作文檔和信息技術(shù)安全標準，以及新產(chǎn)品的獲得、 招聘新的技術(shù)員工和其他事務(wù)。