安全策略中的目标声明以及授权访问和设备的使用

目标声明

ISSP应该以一个清晰的目标声明开始，这个目标概括了策略的范围和适用性。它解决以下问题：这个策略服务于什么目标？由谁来负责实施策略？策略文档涉及到哪些技术问题？

授权访问和设备的使用

在这项策略声明中，解释了谁可以使用策略所规定的技术，用于什么目的。 记住，机构的信息系统是该机构的专有财产，用户并没有特殊的使用权。每项技术和操作都是为业务活动提供的。该部分规定了以“公正和负责任的使用”方式使用设备和机构的其他资产，并且阐述了关键法律问题，例如个人信息和隐私的保护。严格说来，只要不是在“设备误用”中明确规定了的范围，策略就允许员工把这些规定的技术和资产用于任何目的。当管理层允许员工把技术或资源用于某种目的，或者用于机构的额外目标时（例如使用公司系统和网络收发非商业性的个人e -mail），要求这些使用行为必须在策略允许的范围之内。

设备的禁止使用

前面章节说明了设备使用的问题和技术范围，而这部分阐述了禁止使用的范围。一个具体的使用范围除非被明确的禁止，否则机构不能因为使用它而惩罚员工。例如，以下活动可能被禁止：私人使用、破坏性使用或者误用、冒犯或者侵扰的材料，以及侵犯版权、未经批准的东西和其他涉及知识产权的活动。注意：一个机构可以灵活地组合授权访问、设备的使用和设备的禁止使用这3部分内容，形成“恰当的使用策略”。