當(dāng)為兩個(gè)以上策略對(duì)象分別制定策略文檔時(shí)，在實(shí)際寫(xiě)第一個(gè)簡(jiǎn)略策略文檔以前，最好準(zhǔn)備一個(gè)“覆蓋矩陣表”。通過(guò)為身份已確認(rèn)的對(duì)象制定單獨(dú)的詳細(xì)總綱，就可以獲得這種矩陣表。覆蓋矩陣( coverage ma'uixs)只是一個(gè)組織工具，它確保把所有適當(dāng)?shù)陌踩呗孕畔⑻峁┙o相應(yīng)的策略對(duì)象。它著眼予以后的工作，并可使復(fù)雜的策略制定過(guò)程變得有序。一旦交流的主題被識(shí)別清楚，且寫(xiě)入覆蓋矩陣表中，則策略文檔的準(zhǔn)備工作就會(huì)相對(duì)容易一些。

覆蓋矩陣表最簡(jiǎn)單的形式是一個(gè)二維表。例如，它把主要的對(duì)象作為表的行標(biāo)識(shí)符，而用策略分類(lèi)作為列標(biāo)題。這些策略分類(lèi)就是前面所提到的高級(jí)總綱中的主要部分。矩陣中間的單元格應(yīng)當(dāng)填寫(xiě)參考數(shù)據(jù)，每個(gè)參考數(shù)據(jù)從該指南或其他地方的策略中查閱。

由于矩陣表可能有許多列但卻只有幾行，所以作為一個(gè)標(biāo)準(zhǔn)的覆蓋矩陣表， 最好是把行標(biāo)題用于填寫(xiě)各種對(duì)象，空白列標(biāo)題填寫(xiě)策略分類(lèi)，中間的單元格用來(lái)填寫(xiě)具體的策略。那么這種覆蓋矩陣表模板可被復(fù)制許多次。這樣，創(chuàng)建矩陣表時(shí)，就可以節(jié)約大量的時(shí)間。如果在任何時(shí)刻可以只看矩陣表的一部分，并且使用電子制表軟件創(chuàng)建和操作矩陣表，那么就會(huì)極大提高效率。電子制表軟件的使用，也使看起來(lái)較專(zhuān)業(yè)的拷貝更容易。

通常只需要2-3個(gè)不同策略對(duì)象。兩種可能的對(duì)象一般是最終用戶和會(huì)計(jì)計(jì)算機(jī)的技術(shù)員工。使用另一種方法，3種可能的對(duì)象是最終用戶、管理層和計(jì)算機(jī)支持方。在大量的實(shí)際例子中，傳送給這些對(duì)象的消息會(huì)有大量的重疊。在認(rèn)識(shí)到需要多個(gè)組來(lái)接受不同信息的同時(shí)，應(yīng)盡量減少對(duì)象的數(shù)量。

文章來(lái)源：Charles Cresson Wood.Information Security Policies Made Easy.

NetIQ Corporation ,2003. htp://www.netiq.com/proucts／pul/ispme.asp.

圖4-11給出了一個(gè)可制作的矩陣表的例子。表中的策略號(hào)只是一個(gè)占位符， 并不是分析的結(jié)果。每個(gè)機(jī)構(gòu)需要制定它自己的覆蓋矩陣表，把策略號(hào)碼插入相關(guān)的單元格中，每個(gè)單元格反應(yīng)了各自惟一的業(yè)務(wù)和信息系統(tǒng)環(huán)境。

如果認(rèn)為制定這種類(lèi)型的矩陣表太費(fèi)時(shí)，那么可以使用分類(lèi)范圍更寬的一種類(lèi)似的表（正如指南內(nèi)容中出現(xiàn)的那種類(lèi)型）。

另一種可選的辦法是，在單一策略與分離策略之間為不同對(duì)象提供一個(gè)中間策略。對(duì)于這種情況，一個(gè)覆蓋更寬范圍的策略可以適用于所有員工，而分離的專(zhuān)門(mén)策略文檔可適用于諸如信息擁有者、系統(tǒng)開(kāi)發(fā)人員、遠(yuǎn)程工作者和其他特定的對(duì)象。這種分離策略既適合于一般對(duì)象，也適合于特定對(duì)象。在一些擁有企業(yè)內(nèi)部網(wǎng)的大型機(jī)構(gòu)中，這種方法越來(lái)越常見(jiàn)。

為了節(jié)約時(shí)間，一些人通常假設(shè)只有一個(gè)策略對(duì)象。這種以一概全的方法也許適用于一個(gè)機(jī)構(gòu)最初策略聲明較少的情況。但是，信息安全工作越復(fù)雜，這種方法就會(huì)越不適用。如果從制定策略一開(kāi)始是針對(duì)不同的對(duì)象，而不是采用改進(jìn)一個(gè)以一概全的策略（該策略最初打算滿足多種對(duì)象的需要），那么這樣將節(jié)省大量的時(shí)間。策略對(duì)象也趨向于使用分離的文檔。如果采用分離文檔，他們就不會(huì)重復(fù)通知改變信息，在大多數(shù)情形下，這些改變信息與他們都沒(méi)多大關(guān)系。使用分離文檔可以采用不同的方式對(duì)待各種策略對(duì)象，而且不會(huì)產(chǎn)生混淆。例如，如果是第三方人員來(lái)訪問(wèn)機(jī)構(gòu)的信息系統(tǒng)，則其訪問(wèn)規(guī)則就不同于固定員工的訪問(wèn)規(guī)則。