設備、信息或軟件在授權之前不應帶出組織限定的安全邊界或場所。如果根據實際工作需要必須外帶設備，要設置設備移動的時間限制，并在返還時執行符合性核查；設備外帶和返回時需要作相應記錄以備核查。

應對組織場所的設備采取安全措施，要考慮工作在組織場所以外的不同風險，例如失竊風險。組織外使用信息存儲和處理設備需得到管理者的審批授權。這適用于該組織所擁有的設備，也同樣適用與為了組織利益使用的私人設備。

設備處置或再利用前，應實施驗證以確保是否包含存儲介質，例如服務器中的硬盤、 打印機機中的緩存。如果包含敏感信息的設備再利用前，其中的存儲介質應該在物理上予以摧毀，或者采用使原始信息不可獲取的技術破壞、刪除或多次寫覆蓋，而不能采用標準的刪除或格式化功能。

對于無人值守的用戶設備，應確保有適當的保護，例如視頻監控、自動故障告警。所有用戶應了解保護無人值守的設備的安全要求和規程，以及他們對實現這種保護所負有的職責。

制定保持辦公桌面沒有無關紙質資料和清空計算機屏幕上“桌面”文件策略能降低正常工作時間之中和之外對組織敏感信息的未授權訪問、丟失、破壞的風險。應制定采取清空桌面上文件、可移動存儲介質的策略和清空信息處理設施屏幕的策略，并由專門人員進行檢查。清空桌面和清空屏幕策略宜考慮信息分類、法律和合同要求、相應的風險和組織的文化方面。