确定应用范围

　　在制订安全策略之前一个必要的步骤是确认该策略所应用的范围，例如是在整个组织还是在某个部门。如果没有明确范围就制订策略无异于无的放矢。

　　获得管理支持

　　事实上任何项目的推进都无法离开管理层的支持，安全策略的实施也是如此。先从管理层获得足够的承诺有很多好处，可以为后面的工作铺平道路，还可以了解组织总体上对安全策略的重视程度，而且与管理层的沟通也是将安全工作进一步导向更理想状态的一个契机。

　　进行安全分析

　　这是一个经常被忽略的工作步骤，同时也是安全策略制订工作中的一个重要步骤。这个步骤的主要目标是确定需要进行保护的信息资产，及其对组织的绝对和相对价值，在决定保护措施的时候需要参照这一步骤所获得的信息。进行这项工作时需要考虑的关键问题包括需要保护什么，需要防范哪些威胁，受到攻击的可能性，在攻击发生时可能造成的损失，能够采取什么防范措施，防范措施的成本和效果评估等等。

　　会见关键人员

　　通常来说至少应该与负责技术部门和负责业务部门的人员进行一些会议，在这些会议上应该向这些人员灌输在分析阶段所得出的结论并争取这些人员的认同。如果有其它属于安全策略应用范围内的业务单位，那么也应该让其加入到这项工作。

　　制订策略草案

　　一旦就应用范围内的采集的信息达成一致并获得了组织内部足够的支持，就可以开始着手建立实际的策略了。这个策略版本会形成最终策略的框架和主要内容，并作为最后的评估和确认工作的基准。

　　开展策略评估

　　在之前已经与管理层及与安全策略执行相关的主要人员进行了沟通，而该部分工作在之前的基础上进一步与所有风险承担者一同对安全策略进行确认，从而最终形成修正后的正式的策略版本。在这个阶段会往往会有更多的人员参与进来，应该进一步争取所有相关人员的支持，至少应该获得足够的授权以保障安全策略的实施。

　　发布安全策略

　　当安全策略完成之后还需要在组织内成功的进行发布，使组织成员仔细阅读并充分理解策略的内容。可以通过组织主要的信息发布渠道对安全策略进行广泛发布，例如组织的内部信息系统、例会、培训活动等等。

　　随需修订策略

　　随着应用环境的变化，信息安全策略也必须随之变化和发展才能继续发挥作用。通常组织应该每季度进行一次策略评估，每年至少应该进行一次策略更新。