Ответственность организации и предоставление информации
Пользователи являются не единственными лицами, которые имеют обязанности перед организацией, описанные в правилах информационной безопасности. Организация тоже обязана информировать пользователей о том, какие требования предъявляются к ним правилами и какие они должны выполнять функции, а также какие санкции возможны со стороны руководства организации. Помимо этих обязательств организации, она еще имеет правовые обязательства информировать о том, какие шаги она предпринимает, включая наблюдение и сбор данных, проходящих через сеть. При отсутствии таких требований судебные органы не будут принимать во внимание собранные данные о нарушениях пользователями правил безопасности.
Иногда эти правила довольно сложно внести в документ AUP. Были сообщения о том, что пользователи отрицательно относятся к предписаниям правил. Это приводит к конфликту между руководством и теми, кто непосредственно руководствуется в работе этими правилами, что ухудшает моральный климат в организации. Поэтому, необходимо составить формулировки правил, в которых полностью оговаривается, какие санкции может предпринимать организация, исходя из требований правил, и гарантировать, что ее действия не будут нарушать этику.