目標(biāo)聲明

ISSP應(yīng)該以一個清晰的目標(biāo)聲明開始，這個目標(biāo)概括了策略的范圍和適用性。它解決以下問題：這個策略服務(wù)于什么目標(biāo)？由誰來負(fù)責(zé)實施策略？策略文檔涉及到哪些技術(shù)問題？

授權(quán)訪問和設(shè)備的使用

在這項策略聲明中，解釋了誰可以使用策略所規(guī)定的技術(shù)，用于什么目的。 記住，機構(gòu)的信息系統(tǒng)是該機構(gòu)的專有財產(chǎn)，用戶并沒有特殊的使用權(quán)。每項技術(shù)和操作都是為業(yè)務(wù)活動提供的。該部分規(guī)定了以“公正和負(fù)責(zé)任的使用”方式使用設(shè)備和機構(gòu)的其他資產(chǎn)，并且闡述了關(guān)鍵法律問題，例如個人信息和隱私的保護(hù)。嚴(yán)格說來，只要不是在“設(shè)備誤用”中明確規(guī)定了的范圍，策略就允許員工把這些規(guī)定的技術(shù)和資產(chǎn)用于任何目的。當(dāng)管理層允許員工把技術(shù)或資源用于某種目的，或者用于機構(gòu)的額外目標(biāo)時（例如使用公司系統(tǒng)和網(wǎng)絡(luò)收發(fā)非商業(yè)性的個人e -mail），要求這些使用行為必須在策略允許的范圍之內(nèi)。

設(shè)備的禁止使用

前面章節(jié)說明了設(shè)備使用的問題和技術(shù)范圍，而這部分闡述了禁止使用的范圍。一個具體的使用范圍除非被明確的禁止，否則機構(gòu)不能因為使用它而懲罰員工。例如，以下活動可能被禁止：私人使用、破壞性使用或者誤用、冒犯或者侵?jǐn)_的材料，以及侵犯版權(quán)、未經(jīng)批準(zhǔn)的東西和其他涉及知識產(chǎn)權(quán)的活動。注意：一個機構(gòu)可以靈活地組合授權(quán)訪問、設(shè)備的使用和設(shè)備的禁止使用這3部分內(nèi)容，形成“恰當(dāng)?shù)氖褂貌呗浴薄?/p>