系統(tǒng)管理

ISSP的這節(jié)側(cè)重于用戶和系統(tǒng)管理層的關(guān)系。一家公司可能希望發(fā)布具體的規(guī)則來指導(dǎo)員工如何使用電子郵件和電子文檔、如何存儲電子文檔、授權(quán)雇主如何監(jiān)控，以及如何保護(hù)電子郵件和其他電子文檔的物理和電子安全。系統(tǒng)管理部分應(yīng)該指定用戶和系統(tǒng)管理員的責(zé)任，以便讓各方都知道他們應(yīng)該負(fù)責(zé)什么。

違反策略

這部分規(guī)定了對違規(guī)行為的懲罰和員工的反饋方式，懲罰應(yīng)該針對每種違規(guī)類型而設(shè)計(jì)。針對怎樣報(bào)告已觀察到的或可疑的違規(guī)行為，這部分也應(yīng)該提供指南。報(bào)告方式可以是公開的或者匿名的，因?yàn)槿绻硞€(gè)員工報(bào)告了他人的違規(guī)行為，他就會擔(dān)心公司里能力強(qiáng)的人對他的歧視、孤立或者報(bào)復(fù)。匿名提交通常可能是讓報(bào)告人員放心的惟一方式。

策略檢查和修改

每個(gè)策略都應(yīng)該包含定期檢查步驟和時(shí)間表。這部分應(yīng)當(dāng)包括ISSP的具體檢查和修改方法，以便保證用戶手上總是有反映機(jī)構(gòu)當(dāng)前技術(shù)和需求的指導(dǎo)方針。

責(zé)任的限制

最后部分對一般“責(zé)任聲明”或一系列的“拒絕承擔(dān)責(zé)任聲明”做了概要說明。 如果發(fā)現(xiàn)員工用機(jī)構(gòu)的設(shè)備或資產(chǎn)從事非法活動，管理者并不希望機(jī)構(gòu)為這種情況負(fù)責(zé)。因此，如果員工使用公司的技術(shù)時(shí)，違反了公司的策略或法律，假設(shè)管理者不知道或不同意這種違規(guī)行為，那么公司將不會保護(hù)他們，并且不會為他們的行為負(fù)責(zé)。