Aby bylo možno považovat informační systém z hlediska lidského faktoru za zabezpečený, musí být definována konkrétní personální pravidla. Mezi tato pravidla patří zejména přesně stanovená odpovědnost jednotlivých uživatelů včetně jejich oprávnění pro přístup do systému a postupy schvalování mimořádných požadavků a událostí. Není pochopitelně možné zapomenout ani na prověřování daných pravidel či na postihy za jejich porušení, nejlépe opět podle předem přesně stanovených pravidel.
Pokud to charakter systému a důležitost dat dovolí, není na škodu přijatá bezpečnostní opatření v pravidelných intervalech prověřovat vlastními pokusy o jejich porušení a obejití, případně provádět tyto „falešné útoky“ ve spolupráci se společnostmi zabývající se bezpečností.
Mimořádné kontroly je vhodné doplnit o opakující se běžné kontroly, například jednou za šest měsíců. Na stanovení intervalu neexistuje univerzální pravidlo, za dostačující se obvykle považuje období, které odpovídá třetině časového úseku, po který se pravidla nemění.
Ještě jednou ale připomínáme, že se jedná o velmi orientační pomůcku a konkrétní hodnota musí vždy vycházet z individuálních požadavků a situace. Pokud to okolnosti umožní, mělo by být každé druhé, třetí prověření provedeno v rámci reálného provozu. Odhalená „slabá“ místa by neměla být slepě zapracována do nových pravidel – chyb se můžeme dopustit i v rámci prověřování. Důsledná analýza výsledků je tedy nezbytným, i když časově poměrně náročným zlem.
Pravidla by měla být definována písemně a měla by být dostatečně srozumitelná. Musí být komplexní, na druhou stranu ale musí umožnit snadnou změnu. Součástí přijatých pravidel by mělo být také stanovení zodpovědnosti, kdo za jaké pravidlo ručí a kdo má jaké pravomoci. Situace, kdy každý dělá všechno a nikdo za nic nezodpovídá, je v případě bezpečnosti jednou z nejhorších možných variant. Pověřené osoby by na druhou stranu měly být snadno zastupitelné, aby bezpečnost nebyla příliš závislá na konkrétních osobách. Mimochodem, bezpečnostní pravidla se nevztahují pouze na útoky, ale například také na zálohování či dodržování antivirové ochrany.