La première des règles est de définir un cadre pour chacun des utilisateurs du système informatique.
La charte informatique est une piste mais elle ne peut pas et ne doit pas être survolée ou affichée ou se limiter aux modalités de l’utilisation du système informatique et des règles de sécurité avec les moyens d’administration.
Elle doit avoir une force probante afin de matérialiser les obligations et, le cas échéant, les sanctions encourues en cas de non-respect des règles instituées.
Les utilisateurs qui interviennent sur les données doivent être sensibilisés en permanence et, lorsque nécessaire, suffisamment formés avec une règle continue afin de sécuriser leurs tâches dans l’exécution de leurs missions dévolues.
Les utilisateurs du système doivent être clairement authentifiés. Ils doivent avoir chacun leur propre identifiant, avec des mots de passe forts et, le cas échéant, avoir recours à la pseudonymisation en sus.
A l’ouverture de l’accès, l’utilisateur doit avoir son propre mot de passe et non pas uniquement celui qui lui a été donné lors du début de son activité par l’administrateur du réseau.