制定信息安全藍(lán)圖，這個(gè)藍(lán)圖描述了現(xiàn)存的控制并且確定出其他必要的安全控制。藍(lán)圖和框架這兩個(gè)術(shù)語很接近：框架是對(duì)更為詳盡的藍(lán)圖的概述，藍(lán)圖作為設(shè)計(jì)、選擇和實(shí)施所有后續(xù)安全控制的基礎(chǔ)，包括信息安全策略、安全教育和培訓(xùn)項(xiàng)目以及技術(shù)控制。

大多數(shù)機(jī)構(gòu)都利用已經(jīng)建立的安全模型和實(shí)踐來設(shè)計(jì)安全藍(lán)圖，安全模型是由服務(wù)機(jī)構(gòu)提供的通用藍(lán)圖。有一些模型屬于私有財(cái)產(chǎn)，需支付很高的費(fèi)用；其他的相對(duì)來說不那么昂貴，如ISO標(biāo)準(zhǔn)；還有一些是免費(fèi)的，可以從國家標(biāo)準(zhǔn)技術(shù)委員會(huì)和許多其他的來源獲得。你所選擇的模型必須靈活、可升級(jí)、可靠并且足夠詳細(xì)。

創(chuàng)建藍(lán)圖的另一個(gè)方法是參考其他機(jī)構(gòu)采取的辦法，在此參照下，可以采用最佳實(shí)踐或者行業(yè)標(biāo)準(zhǔn)。參照法能夠提供應(yīng)該考慮的控制細(xì)節(jié)，但是它不提供如何將控制付諸實(shí)踐的實(shí)施細(xì)節(jié)。 ’

改進(jìn)或者采納現(xiàn)存的安全管理模型或經(jīng)驗(yàn)，也是一種選擇方法。現(xiàn)在已經(jīng)有一些公開發(fā)布的安全模型和框架，后面將提到政府機(jī)構(gòu)使用的模型和框架。每一 個(gè)信息安全環(huán)境都是獨(dú)一無二的，你可能需要做出修改或者擷取多個(gè)框架的部分內(nèi)容。