5.2.1施行單位於使用秘密鑑別資訊(如通行碼、加密金鑰或憑證資訊等)時，應要求使用者遵循單位之規定。使用者宜：

1. 維持秘密鑑別資訊的機密性，確保不洩露給包括授權人員的任何一方。

2. 避免保留秘密鑑別資訊的紀錄（例如：在紙張、軟體檔案或手持裝置），除非其能被安全地存放，且該存放經過核准（例如：密碼庫）。

3. 只要秘密鑑別資訊有可能遭受破解的跡象，宜立即更改。

4. 不要與他人共用個人的秘密鑑別資訊。

5. 自動登入程序中內含秘密鑑別資訊做為機密鑑別資訊並儲存時，宜確保適當地保護通行碼。

6. 公務與非公務使用目的勿使用相同秘密鑑別資訊。

5.3.1.對於多人使用的資訊系統，建立正式的使用者註冊程序。

5.3.2.使用者註冊管理程序，宜考量：

1. 查核使用者是否已經取得使用該資訊系統的正式授權。

2. 查核使用者被授權的程度是否與業務目的相稱，以及符合資訊安全政策與規定。

3. 以書面或其他方式告知使用者系統存取權利。

4. 要求使用者簽訂約定，使其確實了解系統存取的各項條件及要求。

5. 在系統使用者尚未完成正式授權程序前，資訊服務提供者不得對其提供系統存取服務。

6. 宜建立及維持系統使用者之註冊資料記錄，以備日後查考。

7. 使用者調整職務及離(休)職時，宜盡速註銷其系統存取權利。

8. 宜定期(宜每半年)檢查及取消閒置不用的識別碼及帳號。

9. 閒置不用的識別碼不宜重新配予其他的使用者。