系統管理

ISSP的這節側重于用戶和系統管理層的關系。一家公司可能希望發布具體的規則來指導員工如何使用電子郵件和電子文檔、如何存儲電子文檔、授權雇主如何監控，以及如何保護電子郵件和其他電子文檔的物理和電子安全。系統管理部分應該指定用戶和系統管理員的責任，以便讓各方都知道他們應該負責什么。

違反策略

這部分規定了對違規行為的懲罰和員工的反饋方式，懲罰應該針對每種違規類型而設計。針對怎樣報告已觀察到的或可疑的違規行為，這部分也應該提供指南。報告方式可以是公開的或者匿名的，因為如果某個員工報告了他人的違規行為，他就會擔心公司里能力強的人對他的歧視、孤立或者報復。匿名提交通常可能是讓報告人員放心的惟一方式。

策略檢查和修改

每個策略都應該包含定期檢查步驟和時間表。這部分應當包括ISSP的具體檢查和修改方法，以便保證用戶手上總是有反映機構當前技術和需求的指導方針。

責任的限制

最后部分對一般“責任聲明”或一系列的“拒絕承擔責任聲明”做了概要說明。 如果發現員工用機構的設備或資產從事非法活動，管理者并不希望機構為這種情況負責。因此，如果員工使用公司的技術時，違反了公司的策略或法律，假設管理者不知道或不同意這種違規行為，那么公司將不會保護他們，并且不會為他們的行為負責。