系統(tǒng)管理

ISSP的這節(jié)側(cè)重于用戶和系統(tǒng)管理層的關(guān)系。一家公司可能希望發(fā)布具體的規(guī)則來指導員工如何使用電子郵件和電子文檔、如何存儲電子文檔、授權(quán)雇主如何監(jiān)控，以及如何保護電子郵件和其他電子文檔的物理和電子安全。系統(tǒng)管理部分應(yīng)該指定用戶和系統(tǒng)管理員的責任，以便讓各方都知道他們應(yīng)該負責什么。

違反策略

這部分規(guī)定了對違規(guī)行為的懲罰和員工的反饋方式，懲罰應(yīng)該針對每種違規(guī)類型而設(shè)計。針對怎樣報告已觀察到的或可疑的違規(guī)行為，這部分也應(yīng)該提供指南。報告方式可以是公開的或者匿名的，因為如果某個員工報告了他人的違規(guī)行為，他就會擔心公司里能力強的人對他的歧視、孤立或者報復。匿名提交通常可能是讓報告人員放心的惟一方式。

策略檢查和修改

每個策略都應(yīng)該包含定期檢查步驟和時間表。這部分應(yīng)當包括ISSP的具體檢查和修改方法，以便保證用戶手上總是有反映機構(gòu)當前技術(shù)和需求的指導方針。

責任的限制

最后部分對一般“責任聲明”或一系列的“拒絕承擔責任聲明”做了概要說明。 如果發(fā)現(xiàn)員工用機構(gòu)的設(shè)備或資產(chǎn)從事非法活動，管理者并不希望機構(gòu)為這種情況負責。因此，如果員工使用公司的技術(shù)時，違反了公司的策略或法律，假設(shè)管理者不知道或不同意這種違規(guī)行為，那么公司將不會保護他們，并且不會為他們的行為負責。