基于系統(tǒng)的策略

盡管基于問題的策略被正式記錄成書面文檔以便識(shí)別，但基于系統(tǒng)的策略（SysSPs，System-Speciflc Policy）則有不同的表現(xiàn)形式。SysSPs經(jīng)常在配置和維護(hù)系統(tǒng)時(shí)起到標(biāo)準(zhǔn)和過程指導(dǎo)的作用。例如，這樣一個(gè)文檔可能描述了網(wǎng)絡(luò)防火墻的配置和操作規(guī)程。該文檔可能包括管理目標(biāo)聲明；網(wǎng)絡(luò)工程師選擇、配置和操作防火墻的指南；訪問控制列表（為每個(gè)授權(quán)用戶定義訪問級(jí)別）。SysSPs可以被分成兩個(gè)部分，管理向?qū)Ш图夹g(shù)規(guī)范；也可以像前面的例子一樣，把這兩種類型的SysSPs合并成一個(gè)單獨(dú)的策略文檔。

SysSPs管理指南

SysSPs管理指南由管理層制定，用來指導(dǎo)技術(shù)的實(shí)現(xiàn)和配置，該指南還規(guī)定了機(jī)構(gòu)內(nèi)部員工支持信息安全的行為規(guī)則。例如，盡管防火墻的具體配置應(yīng)該放在SysSPs的技術(shù)說明書里，但防火墻的構(gòu)建和實(shí)現(xiàn)過程必須按照管理者制定的方針來進(jìn)行。例如，一個(gè)機(jī)構(gòu)可能不希望它的員工利用機(jī)構(gòu)的網(wǎng)絡(luò)訪問因特網(wǎng)；在這種情況下，應(yīng)該按照這種規(guī)則配置防火墻。

防火墻并不是需要SysSPs的惟一領(lǐng)域。任何影響信息機(jī)密性、完整性或可用性的技術(shù)，必須經(jīng)由管理層評(píng)估，以便在安全性和業(yè)務(wù)發(fā)展之間尋求平衡。

基于系統(tǒng)的策略可以和ISSPs同時(shí)制定，或者在相關(guān)的ISSPs制定之前準(zhǔn)備。 在管理者起草策略之前，應(yīng)當(dāng)讓用戶清楚使用技術(shù)可以做什么和怎樣做，對(duì)于系統(tǒng)管理員來說，配置和操作系統(tǒng)也許是有必要的。一些機(jī)構(gòu)可能更愿意同時(shí)制定ISSPs和SysSPs，這樣就可以同時(shí)制定操作程序和用戶方針。