El administrador de la seguridad decide quién puede asignar dispositivos y se asegura de que todos los usuarios autorizados para usar dispositivos reciban la formación necesaria. El usuario es de confianza para realizar lo siguiente:
Etiquetar y manejar correctamente cualquier medio que contenga información confidencial exportada de modo que la información no esté disponible para ninguna persona que no deba verla.
Por ejemplo, si la información que tiene la etiqueta NEED TO KNOW ENGINEERING se almacena en un CD, la persona que exporta la información debe colocar en el disco una etiqueta NEED TO KNOW ENGINEERING de manera física. El CD debe almacenarse en un lugar al que puedan acceder únicamente los miembros del grupo de ingeniería que deban tener conocimiento de la información.
Asegurarse de que las etiquetas se mantengan de manera apropiada en cualquier información que se importe (lea) desde medios en estos dispositivos.
Un usuario autorizado debe asignar el dispositivo en la etiqueta que coincida con la etiqueta de la información que se está importando. Por ejemplo, si un usuario asigna una unidad de CD-ROM como PUBLIC, el usuario debe importar solamente la información que tenga la etiqueta PUBLIC.
El administrador de la seguridad también es responsable de hacer que estos requisitos de seguridad se cumplan como corresponda.