Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet.

Ansvars- og myndighetsforhold skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder.

Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås.

Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder.

Bruk av informasjonssystemet som har betydning for informasjonssikkerheten, skal utføres i henhold til fastlagte rutiner.