A a direção reconheça, antecipadamente, como de sua exclusiva responsabilidade, a segurança sobre a proteção dos ativos de informação contra acesso não autorizado, divulgação, modificação, destruição ou interferência.
B a divulgação das regras de manipulação de informações sensíveis seja restrita aos candidatos a cargos de chefia e a fornecedores que possam vir a utilizá -las.
C as responsabilidades pela segurança da informação sejam atribuídas antes da contratação, de forma adequada, nas descrições de cargos e nos termos e condições de contratação.
D todos os candidatos a funcionários, fornecedores e terceiros, usuários dos recursos de processamento da informação, assinem acordos de não exploração do conhecimento das fragilidades institucionais frente às ameaças à segurança da informação.
E todos os funcionários, fornecedores e terceiros que tenham acesso a informações sensíveis assinem um termo de confidencialidade ou de não divulgação imediatamente após ser-lhes dado o acesso aos recursos de processamento da informação.