ネットワークやシステムの資源をユーザが利用する際のアカウント登録や抹消の手順あるいは、適切なアクセス権の付与についても文書化されていることが望ましい。
・機密保持合意書(誓約書)
・セキュリティ事故対応手順書(連絡体制、事故対処手順、事後措置、報告義務)
・ユーザ行動指針書(パスワードの取扱い等)
・ユーザヘのセキュリティ教育内容の明文化
4]情報資産
保有する情報資産は、目録としてその価値や所有者(所有者の責任を含む)が保持されている必要がある。
また、それらの分類をする際に基準となる指針も必要である。
・情報資産目録(各情報資産の価値、所有者、責任、情報のライフサイクルに合わせた管理主体などを明記したもの)
・情報資産の分類(情報資産は機密度、重要度などに沿って分類し、ユーザヘのアクセス権限とリンクさせたもの)
5]媒体・装置
媒体や装置の取扱い・保管、持ち帰り・持ち込みの条件や禁止などについて、手順を記述している必要がある。
また、それらをどのくらいの期間保持し、どのようにに廃棄するのかといった処分の基準や方法も明確にしておく。
・媒体・装置の取扱い手順(媒体の取扱い・保管、処分の基準・方法)
・持ち込みなどにかかわる条件、禁止の明文化
6]ウイルス
コンピュータ・ウイルス対策の運用やユーザの留意事項について明文化されている必要がある。管理者がコンピュータ・ウイルス対策のためにとるべき行動やユーザが日ごろから留意する事項、また、コンピュータ・ウイルスが発生した場合にとるべき行動についてまとめる必要がある。
・ユーザ向けコンピュータ・ウイルス対策の運用手順書
・ネットワーク管理者向けコンピュータ・ウイルス対策の運用手順書
・ウイルス・トラブル発生時の手順書(操作、報告、後始末)
7]電子メール
電子メールによって起こりうるリスクを軽減するため、またトラブル発生時の対応などの方針、手順などをユーザ、管理者向けに明文化する。