NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

行为规范代表了组织用户的一种访问协议类型。其他类型的访问协议包括保密协议、利益冲突协议和可接受使用协议（参见 PS-6）。组织会根据用户的角色和职责来考虑行为规范，并区分适用于特权用户的规则和适用于普通用户的规则。为某些类型的非组织用户（包括从联邦系统接收信息的个人）制定行为规则通常是不切实际的，因为这类用户数量庞大，而且他们与系统的交互有限。组织和非组织用户的行为规则也可以在 AC-8 中制定。相关控制部分提供了与组织行为规则相关的控制列表。控制的已记录确认部分 PL-4b，如果组织所进行的识字培训、意识培训和基于角色的培训计划中包含行为规则，可以满足这一要求。行为规则的书面确认包括电子或纸质签名，以及电子同意复选框或单选按钮。