资源目录

如果系统有外部用户，其拥有者有责任让其它用户了解安全方法的基本情况以便用户确定系统得到了充分的保护。（这不暗示所有的系统必须满足最小的安全等级，但是暗示系统的拥有者应该将安全的基本情况告知其客户或用户。）

另外为了共享安全信息，机构的管理人“应该采取及时、协调一致的行动来防止和响应对安全的破坏”以便帮助保护其他方面免遭损害。但是采取这些行动不应该危害系统的安全 。