基于系统的策略中的SysSPs管理指南

基于系统的策略

尽管基于问题的策略被正式记录成书面文档以便识别，但基于系统的策略（SysSPs，System-Speciflc Policy）则有不同的表现形式。SysSPs经常在配置和维护系统时起到标准和过程指导的作用。例如，这样一个文档可能描述了网络防火墙的配置和操作规程。该文档可能包括管理目标声明；网络工程师选择、配置和操作防火墙的指南；访问控制列表（为每个授权用户定义访问级别）。SysSPs可以被分成两个部分，管理向导和技术规范；也可以像前面的例子一样，把这两种类型的SysSPs合并成一个单独的策略文档。

SysSPs管理指南

SysSPs管理指南由管理层制定，用来指导技术的实现和配置，该指南还规定了机构内部员工支持信息安全的行为规则。例如，尽管防火墙的具体配置应该放在SysSPs的技术说明书里，但防火墙的构建和实现过程必须按照管理者制定的方针来进行。例如，一个机构可能不希望它的员工利用机构的网络访问因特网；在这种情况下，应该按照这种规则配置防火墙。

防火墙并不是需要SysSPs的惟一领域。任何影响信息机密性、完整性或可用性的技术，必须经由管理层评估，以便在安全性和业务发展之间寻求平衡。

基于系统的策略可以和ISSPs同时制定，或者在相关的ISSPs制定之前准备。 在管理者起草策略之前，应当让用户清楚使用技术可以做什么和怎样做，对于系统管理员来说，配置和操作系统也许是有必要的。一些机构可能更愿意同时制定ISSPs和SysSPs，这样就可以同时制定操作程序和用户方针。