(1) Uživatel, bezpečnostní správce a správce informačního systému dodržuje předepsané postupy stanovené v bezpečnostní dokumentaci informačního systému, kterými je zajišťována bezpečnost informačního systému.

(2) Informace o činnosti subjektu informačního systému v informačním systému se zaznamenává tak, aby bylo možno identifikovat narušení bezpečnosti informačního systému nebo pokusy o ně. Záznamy o činnosti subjektu informačního systému v informačním systému se uchovávají pro zpětné zkoumání po dobu stanovenou v bezpečnostní politice informačního systému.

(3) Vyžaduje-li to činnost, pro kterou je informační systém zřízen, je v informačním systému zajišťována nepopiratelnost stanovených jednání či událostí. V případě, že je v informačním systému požadována funkcionalita spisové služby v elektronické podobě⁶), musí být software, kterým je realizována, hodnocen během certifikace informačního systému.