Eine AUP (Acceptable Use Policy) definiert die Regeln für die zulässige Nutzung von IT-Ressourcen einer Organisation — darunter Internetzugang, E-Mail, Software, mobile Geräte und Cloud-Dienste. Sie richtet sich an alle Beschäftigten und oft auch an externe Beteiligte.
ISO 27001 Annex A Control A.5.10 (Zulässige Nutzung von Informationen und zugehörigen Werten) fordert explizit eine solche Regelung. Die AUP gehört zu den grundlegenden ISMS-Dokumenten, die bei einer Zertifizierung vorliegen müssen. Typische Inhalte sind: erlaubte und verbotene Nutzung, private Nutzung von Firmenhardware, Umgang mit vertraulichen Informationen, Meldepflichten bei Sicherheitsvorfällen und Konsequenzen bei Verstößen. Die AUP sollte bei Eintritt unterschrieben und regelmäßig (z. B. jährlich) bestätigt werden.