Com respeito à política de senhas deve-se verificar: a) requisitos para formação de senhas; b) período de validade das senhas; c) normas para proteção de senhas; d) reuso de senhas e e) senhas default.

São direitos e responsabilidades dos usuários: a) utilização de contas de acesso; b) utilização de softwares e informações, incluindo questões de instalação, licenciamento e copyright; c) proteção e uso de informações como senhas, dados de configuração de sistemas e dados confidenciais da organização; d) direito à privacidade e e) condições nas quais esse direito pode ser violado pelo provedor dos recursos.

A política de segurança deve adotar ações, em caso de violação da política, relativas a: a) diretrizes para tratamento e resposta de incidentes de segurança e b) penalidades cabíveis.

Na implantação da política de segurança, é necessário que: tenha apoio por parte da administração superior; seja ampla, cobrindo todos os aspectos que envolvem a segurança dos recursos computacionais e da informação sob responsabilidade da organização; c) seja periodicamente atualizada de forma a refletir as mudanças na organização; tenha uma pessoa ou grupo responsável por verificar se a política está sendo respeitada; todos os usuários da organização tomem conhecimento da política e manifeste a sua concordância em submeter-se a ela antes de obter acesso aos recursos computacionais; esteja disponível em um local de fácil acesso aos usuários, tal como a intranet da organização.

Os testes são itens fundamentais, assim como a configuração dos dispositivos.