Uma política de segurança da informação, deve atingir e aplicar-se a todos os funcionários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento da companhia, ou acesso a informações pertencentes a mesma.

Todo e qualquer usuário de recursos computacionais da companhia tem a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos.