基于系統的策略

盡管基于問題的策略被正式記錄成書面文檔以便識別，但基于系統的策略（SysSPs，System-Speciflc Policy）則有不同的表現形式。SysSPs經常在配置和維護系統時起到標準和過程指導的作用。例如，這樣一個文檔可能描述了網絡防火墻的配置和操作規程。該文檔可能包括管理目標聲明；網絡工程師選擇、配置和操作防火墻的指南；訪問控制列表（為每個授權用戶定義訪問級別）。SysSPs可以被分成兩個部分，管理向導和技術規范；也可以像前面的例子一樣，把這兩種類型的SysSPs合并成一個單獨的策略文檔。

SysSPs管理指南

SysSPs管理指南由管理層制定，用來指導技術的實現和配置，該指南還規定了機構內部員工支持信息安全的行為規則。例如，盡管防火墻的具體配置應該放在SysSPs的技術說明書里，但防火墻的構建和實現過程必須按照管理者制定的方針來進行。例如，一個機構可能不希望它的員工利用機構的網絡訪問因特網；在這種情況下，應該按照這種規則配置防火墻。

防火墻并不是需要SysSPs的惟一領域。任何影響信息機密性、完整性或可用性的技術，必須經由管理層評估，以便在安全性和業務發展之間尋求平衡。

基于系統的策略可以和ISSPs同時制定，或者在相關的ISSPs制定之前準備。 在管理者起草策略之前，應當讓用戶清楚使用技術可以做什么和怎樣做，對于系統管理員來說，配置和操作系統也許是有必要的。一些機構可能更愿意同時制定ISSPs和SysSPs，這樣就可以同時制定操作程序和用戶方針。