Cilj: Spriječiti neautorizirani pristup korisnika i kompromitiranje ili krađu informacija ili informacijskih sredstava. Suradnja autoriziranih korisnika je ključna za učinkovito ostvarenje sigurnosti. Korisnici trebaju biti svjesni svoje odgovornosti za održavanje učinkovitosti pristupnih kontrola. Potrebno je utemeljiti politiku za čuvanje informacija na radnom mjestu kako bi se spriječio neautoriziran pristup informacijama i informacijskim sredstvima.
Kontrola Korisnici trebaju slijediti dobru sigurnosnu praksu za obabir i uporabu lozinki. Implementacijske smjernice Korisnike je potrebno savjetovati da: a) čuvaju tajnost lozinki; b) izbjegavaju zapisivanje lozinki; c) mjenjaju lozinku ukoliko postoji ikakva indikacija da su lozika ili sustav kompromitirani; d) dobro odaberu lozinku koja ima dopušteni minimum znakova i koja: 1) je lako pamtiva; 2) ne sadrži pojedinosti o korisniku (ime, datum rođenja i sl.) i druge podatke koji se mogu lako pogoditi; 3) nije ranjiva na napade rječnikom (ne sadržava riječi iz rječnika); 4) se ne sastoji samo od slova niti samo od brojki; e) mjenjaju lozinku u redovitim vremenskim intervalima ili ovisno o broju pristupa sustavu; f) mjenjaju privremene lozinke kod prve prijave na sustav; g) ne uključuju lozinke u automatske procese prijave; h) ne dijele svoje individualne lozinke; i) ne koriste iste lozinke za poslovne i privatne svrhe. Dodatne informacije Upravljenje sustavom koji se bavi zaboravljenim lozinkama zahtjeva posebnu brigu, jer može biti metom napada.
Kontrola Korisnici trebaju osigurati prikladnu zaštitu opreme koja je bez nadzora. Implementacijske smjernice Korisnike je potrebno savjetovati da: a) završe sesiju kad budu gotovi s radom; b) se odjave s mainframe računala, poslužitelja ili osobnog računala kad završe s radom; c) osiguraju terminale ili osobna računala od neovlaštenog pristupa upotrebom kontrola, npr. zahtjevanje lozinke.
Kontrola Potrebno je održavati radno okruženje takvim da se pruži zaštita informacijama, medijima i sredstvima za obradu informacija. Implementacijske smjernice Potrebno je razmotriti sljedeće smjernice: a) osjetljive i kritične poslovne informacije (papiri i elektronički mediji) trebaju biti pospremljeni na sigurnom mjestu; b) zasloni osobnih računala i terminala trebaju biti zaštićeni mehanizmima zaključavanja; c) prostori za dolazak i odlazak pošte, kao i faksovi ne smiju oststi bez nadzora; d) ne smije se dozvoliti neovlaštena uporaba strojeva ta fotokopiranje; e) dokumenti koji sadrže osjetljive informacije se trebaju ukloniti s pisača.