建立考試機(jī)制以檢查員工是否理解了策略——應(yīng)該有一系列的考試和調(diào)查確定員工是否理解安全策略文檔中的重點(diǎn)。通過這些考試和調(diào)查確定是否要增加培訓(xùn)和通告。這些考試和檢查也能作為能夠具有某些特權(quán)的必要過程。例如， 一個員工只有通過一次考試或檢查才可以遠(yuǎn)程辦公。

培訓(xùn)信息安全協(xié)調(diào)人員——在信息安全協(xié)調(diào)人員能正式工作前，他們要接受培訓(xùn)，半天的培訓(xùn)課程，可讓他們熟悉新信息安全策略文檔的要求、現(xiàn)有的機(jī)構(gòu)資源和處理各種問題的最佳方式，如斷電、黑客攻擊、還有計算機(jī)病毒感染，推薦使用本地信息安全協(xié)調(diào)人員手冊。

準(zhǔn)備和發(fā)布基礎(chǔ)信息安全培訓(xùn)課程——為X公司中的所有員工準(zhǔn)備培訓(xùn)大綱。策略文檔是培訓(xùn)和意識提升的主要來源。另外各種材料（如公司的操作編號），在準(zhǔn)備課程時也要加以利用，這些課使用了幾次后，可能需要修改，然后通過錄像帶或基于計算機(jī)的培訓(xùn)軟件存檔。在許多情況下，不同策略對象可能要不同的培訓(xùn)課程。策略對象包括新招聘的員工、當(dāng)前需要額外培訓(xùn)的員工、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、可能被任命的信息安全協(xié)調(diào)員、系統(tǒng)分析員、應(yīng)用程序設(shè)計師，相關(guān)系統(tǒng)的項目經(jīng)理、系統(tǒng)質(zhì)量保障人員和別的沒有信息安全協(xié)調(diào)能力的技術(shù)員工。

制定特殊應(yīng)用的信息安全策略——某些高度敏感的應(yīng)用軟件需要額外的特殊應(yīng)用策略和操作過程。現(xiàn)在已經(jīng)準(zhǔn)備了新的信息安全策略文檔，另外要求為高風(fēng)險的應(yīng)用系統(tǒng)制定更詳細(xì)的策略和相關(guān)需求。某些更復(fù)雜的計算環(huán)境，不僅僅包含應(yīng)用系統(tǒng)，如互聯(lián)網(wǎng)電子商務(wù)，因此就要保證更詳細(xì)的策略和操作過程。下述概念層次用于描述這些特殊應(yīng)用文檔和新的信息安全策略之間的關(guān)系。

制定信息安全需求的概念層次——信息安全領(lǐng)域是復(fù)雜的，復(fù)雜性表現(xiàn)在定義信息安全需求的各種文檔中。在許多機(jī)構(gòu)中，這些包括標(biāo)準(zhǔn)、指導(dǎo)方針、策略、 手續(xù)和體系結(jié)構(gòu)。通用信息安全策略文檔應(yīng)在概念層次的頂部，而相關(guān)應(yīng)用信息安全策略文檔位于下面。標(biāo)準(zhǔn)、指導(dǎo)方針、操作過程和別的文檔要通過整個機(jī)構(gòu)的信息安全策略聲明加以控制。當(dāng)一些文檔被采用時，概念層次應(yīng)當(dāng)指明；當(dāng)存在沖突時哪些文檔優(yōu)先、哪些文檔是當(dāng)前的、哪些是過時的。這個概念層次對于培訓(xùn)和意識提升是有用的，也可以放在公司的信息安全企業(yè)網(wǎng)頁上。

分配信息所有權(quán)和保管責(zé)任——具體的信息管理所有權(quán)，應(yīng)該根據(jù)信息安全文檔中定義的需求落實到直接責(zé)任人。在所有權(quán)被分配以后，接下來要確定保管責(zé)任角色。

建立一個信息安全管理委員會——為了監(jiān)督正在進(jìn)行中的各種信息安全活動，應(yīng)該建立一個委員會，這個委員會要有X公司各個主要部門的中層領(lǐng)導(dǎo)，它保障現(xiàn)行和提議的信息安全活動和業(yè)務(wù)目標(biāo)一致，而不是向信息安全部門提供任何具體的技術(shù)幫助。這個委員會在將建議提交給上層管理者之前，首先要他們自己達(dá)成一致，一般每一季度聚集一次，它的使命書和相關(guān)詳細(xì)資料能夠在《Information Security Roles and Responsibilities Macle Easy》這本書中找到。

制定一個信息安全體系結(jié)構(gòu)文檔——即使在策略文檔里詳細(xì)敘述了信息安全的基本規(guī)則，大多數(shù)情況下也有必要為設(shè)計安全系統(tǒng)構(gòu)筑一個宏偉的設(shè)想。機(jī)構(gòu)越大，越需要這樣的文檔。在這些機(jī)構(gòu)里復(fù)雜性越來越成為一個問題。體系結(jié)構(gòu)應(yīng)該指定現(xiàn)在和不久的將來會用到的控制，提供一個計劃保證不久的將來由于情況的變化，機(jī)構(gòu)必須改變控制信息系統(tǒng)的方式時，這種改變能夠被接受。一些機(jī)構(gòu)也使用一個體系結(jié)構(gòu)文檔來指定已經(jīng)被批準(zhǔn)的信息安全產(chǎn)品和相關(guān)供應(yīng)商。 體系結(jié)構(gòu)處理系統(tǒng)接口、技術(shù)標(biāo)準(zhǔn)和其他的技術(shù)考慮，而不僅是策略文檔。