爲了覈准安全策略的運用狀況和遵守程度,可以考慮聘請外來顧問或安全診斷服務公司。通過第三者取得的客觀評價和診斷,有利於正確掌握安全策略的遵守狀況、職員行爲與道德水平、安全產品的運用狀況、對教育普及活動的反饋以及重新評價安全策略。
在很難獨自制定安全策略的情況下,應該首先接受安全公司的診斷服務。安全公司會針對企業的整體安全狀態進行評估。評估包括以下幾個內容:
1)關鍵業務(SAP等ERP軟件、數據倉庫、EDI系統等);
2)系統平臺(路由器、防火牆、負載均衡設備、認證服務器等);
3)公司服務(客戶訪問量、客戶層次等)、操作水平等多個方面,在綜合這幾個方面的評估的基礎上,對企業的現有安全狀態作一個綜合評價。
安全公司基於其對企業的綜合安全評價診斷,着手構築安全策略。安全專門公司通常會利用BS7799ISPME等標準化的制定步驟開展構築工作,因而可以在公司各個組織部門之間取得平衡,在準確地對安全推進體制進行明文化之後,整體安全策略就不會發生不協調。
在日本和歐美各國,當一個企業在與政府部門或國外企業進行貿易相關的活動時,對方往往通過安全策略的水平,就會判斷出是否能與之做交易。因此,對企業經營來講,這樣的外壓也會成爲制定和重新評價安全策略的動機。在推進與EDI等其他公司之間的Extranet之際,由於會發生不僅國內而且在海外也必須制定統一標準的安全策略的情況,正如國際會計標準***到企業會計領域一樣,今後也考慮到ISOIEC15408,BS7799等標準,制定和修訂安全策略的情況將會增加。