該階段應(yīng)當(dāng)完成的研究工作包括：原有策略的制定方式、一些術(shù)語的使用、記錄策略的傳統(tǒng)格式、策略編號和命名系統(tǒng)、策略和其他管理元素之間的關(guān)聯(lián)項（比如過程與標(biāo)準(zhǔn)等）。例如，原有策略通常使用“必須”這一詞，為了維持一致性，信息安全策略也應(yīng)當(dāng)使用“必須”這一詞。同樣，原有策略也許采用軍用式的編號系統(tǒng)或者完全不同的樣式。一個信息安全策略的發(fā)布一直是有爭議的問題，不管內(nèi)部策略樣式指導(dǎo)方針制定與否，都不要由于未能與這些方針不一致而給批評家更多的話題。

原有策略要求，對機構(gòu)策略聲明的詳細(xì)等級進行評審。機構(gòu)也許已經(jīng)用了特定的術(shù)語來定義原有策略，在這些策略中，采用詳細(xì)的信息安全策略聲明也是比較恰當(dāng)?shù)模涣硪环N情形是，這些機構(gòu)也許用了非常高級的術(shù)語來定義策略，這時也許只有采用概要的信息安全聲明是恰當(dāng)?shù)摹Ｒ苍S兩種選擇同時存在，那么分離的策略可面向不同的策略對象。從某種角度上講，策略的詳細(xì)等級是由管理層對員工的信任程度所決定的；也是由員工對文檔具體要求的遵守程度所決定的；以及由員工對正在解決的問題的熟悉程度所決定的。

內(nèi)部策略中的一些信息（諸如表示方法、策略使用、使用方法、詳細(xì)等級等）很少被記錄，但是通過檢查原有策略聲明可以獲得這些信息。在一些超大型機構(gòu)中也許存在一些文檔，可給策略制定過程提供方向。在一些大型機構(gòu)中，策略和計劃小組的內(nèi)部員工能夠幫助策略制定工作。不管是否能夠獲得外部的指導(dǎo)或內(nèi)部的咨詢輔助，為了確保即時的采用，應(yīng)當(dāng)采用與原有策略類似的方法，來制定新的或修改的信息安全策略，這些方法的形式與原有策略應(yīng)該沒有本質(zhì)區(qū)別。