組織評審、批準和實施過程

一旦信息安全策略文檔初稿完成，就應當對其評審。對反饋意見進行修改以后，策略文檔就應當被送到有關的內部人員處（如內部審計管理和知識產權部門的律師）。幾個關鍵支持部門做出修改以后，就準備由信息安全管理委員會評審。 評審的下一步流程會分配給更多的相關部門，例如，所有的信息所有者和信息系統中所雇傭的人員。該評審過程是可取的，因為它通過預先分發文檔給這些關鍵部門并獲得它們的支持，使該過程建立在它們支持的基礎之上。

許多評審周期，其每一步都會給策略文檔帶來變化，因而常常是必要的。應該把這看成是模式化的過程，而不應該看作是個人行為。多重評審部分反映了這樣一個事實，那就是信息安全策略的制定過程具有很高的政策性、受情感支酉己以及高度的開放性。反復的評審過程能夠讓策略更加清晰、簡潔并冉旨對主流形勢作出反映，為此評審的觀點應當受到歡迎。兩個指導性的附錄提供了關于該過程的附加信息，若需要更多的信息，參見“策略制定過程的步驟清單”。

評審過程的最后一步一般由總經理、總裁、首席執行宮或者董事會主席簽名。必須有一條簡潔消息，以表明希望能予以遵守并且這是繼續雇用的條件， 應當在策略文檔的第一頁就可以找到該消息，如果它在內部網服務器上，就應該把它放在開放的網頁。該消息要放在顯眼的位置，并有高層管理者的簽名， 這樣讀者就確信該策略文檔受到高層領導強有力的支持。如果讓首席執行官簽名不現實，那有首席信息官的簽名也行。要注意僅有信息安全部門主管或同級的部門主管的簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意聽起來就像不必要的交易，但經驗表明，高層的簽名和希望遵守的附加信息對于策略的廣泛采納是非常重要的。在策略文檔得到管理層批準前，它已經得到了機構內部各方多次評審和修訂，或許最令人滿意的評審方是信息安全管理委員會。

一般說來，信息安全委員會由機構內部信息安全利益團體的代表組成，參與者包括來自以下各部門的成員：信息安全、內部審計、風險管理、物理安全，信息系統、人力資源、法律、財政和會計部以及各種用戶部門。這樣一個委員會本質上是監督信息安全部門的工作，它負責篩選和提煉已提交的策略、過程、組織結構和另外的信息安全創意，以便在整個組織內為大家所樂意接納和實施。在大多數的情形下，信息安全管理層設計一個信息安全策略粗稿，然后提交管理委員會評審和批準。