目標聲明

ISSP應該以一個清晰的目標聲明開始，這個目標概括了策略的范圍和適用性。它解決以下問題：這個策略服務于什么目標？由誰來負責實施策略？策略文檔涉及到哪些技術問題？

授權訪問和設備的使用

在這項策略聲明中，解釋了誰可以使用策略所規定的技術，用于什么目的。 記住，機構的信息系統是該機構的專有財產，用戶并沒有特殊的使用權。每項技術和操作都是為業務活動提供的。該部分規定了以“公正和負責任的使用”方式使用設備和機構的其他資產，并且闡述了關鍵法律問題，例如個人信息和隱私的保護。嚴格說來，只要不是在“設備誤用”中明確規定了的范圍，策略就允許員工把這些規定的技術和資產用于任何目的。當管理層允許員工把技術或資源用于某種目的，或者用于機構的額外目標時（例如使用公司系統和網絡收發非商業性的個人e -mail），要求這些使用行為必須在策略允許的范圍之內。

設備的禁止使用

前面章節說明了設備使用的問題和技術范圍，而這部分闡述了禁止使用的范圍。一個具體的使用范圍除非被明確的禁止，否則機構不能因為使用它而懲罰員工。例如，以下活動可能被禁止：私人使用、破壞性使用或者誤用、冒犯或者侵擾的材料，以及侵犯版權、未經批準的東西和其他涉及知識產權的活動。注意：一個機構可以靈活地組合授權訪問、設備的使用和設備的禁止使用這3部分內容，形成“恰當的使用策略”。