Politique spécifique à un système

Les politiques de programme et les politiques spécifiques à un problème sont des politiques larges et de haut niveau rédigées pour englober l'ensemble de l'organisation, tandis que les politiques spécifiques à un système fournissent des informations et des directives sur les actions autorisées sur un système particulier.

Ces politiques sont similaires aux politiques spécifiques à un problème en ce sens qu'elles se rapportent à des technologies spécifiques à travers l'organisation. Cependant, les politiques spécifiques à un système dictent les configurations de sécurité appropriées au personnel responsable de la mise en œuvre des contrôles de sécurité requis afin de satisfaire les besoins de l'organisation en matière de sécurité de l'information.

Pour développer un ensemble de politiques de sécurité cohérent et complet, les responsables peuvent utiliser un processus de gestion qui dérive des règles de sécurité à partir des objectifs de sécurité. Il est utile de considérer un modèle à deux niveaux pour la politique de sécurité des systèmes : les objectifs de sécurité et les règles opérationnelles de sécurité. Étroitement liés et souvent difficiles à distinguer, cependant, on trouve l'implémentation de la politique dans la technologie. Similaire aux politiques spécifiques à un problème, il est recommandé que les politiques spécifiques à un système soient réexaminées selon la période définie par l'organisation pour garantir leur conformité aux procédures de sécurité les plus récentes.

(Sources : NIST SP 800-12, NIST SP 800-30).