Nach Angaben der IT-Security-Firma Sophos lassen sich unter anderem folgende Einzelregelungen in eine Policy integrieren:
Betriebssysteme
Festgelegt wird, dass Mobilsysteme beispielsweise unter aktuellen Betriebssystemen laufen müssen, etwa unter iOS ab Version 6.x oder Android 4.x. Dies minimiert die Gefahren durch Geräte mit veralteter Systemsoftware, für die eventuell keine Sicherheitsupdates mehr verfügbar sind.
Passwortverwaltung
Alle vom User gespeicherten Passwörter müssen in einem besonders geschützten und verschlüsselten Passwort-Tresor auf dem System abgelegt werden.
Passwortstärke
Der Zugriff auf das System wird mithilfe eines starken Passworts abgesichert, das den firmenweiten Regelungen für das Passwort-Management entsprechen muss. Das heißt beispielsweise, dass nur Passcodes mit mindestens acht Ziffern, Buchstaben und Sonderzeichen verwendet werden dürfen, dass mindestens eine Ziffer und ein Sonderzeichen vorhanden sind und dass das Passwort nach einem bestimmten Zeitraum gegen ein neues getauscht werden muss.
Zugriff auf das Firmennetzwerk
Nur Endgeräte, die von der IT-Abteilung verwaltet werden, dürfen direkt mit dem Corporate Network verbunden werden. Zudem werden für einzelne User-Gruppen Zugriffsrechte definiert. Sie beziehen sich auf Anwendungen, Daten, Netzwerklaufwerke et cetera.
Regeln für User
Ob solche Regeln eingehalten werden, kann die IT-Abteilung kontrollieren, wenn ein Mobile Device Management (MDM) implementiert ist. Gleiches gilt für weitere Vorgaben, die seitens der Nutzer einzuhalten sind. Diese betreffen beispielsweise folgende Punkte:
Verbot des "Rootens"
Der User darf sein System weder "rooten" (Android) noch "jailbreaken" (iOS), also Nutzungsbeschränkungen seitens des Systemanbieters (Apple) entfernen oder sich zum "Super-User" aufschwingen. Jailbreaking beziehungsweise Rooten erleichtert es Angreifern, die Kontrolle über ein Endgerät zu übernehmen und sich eventuell in ein Firmennetzwerk vorzuarbeiten.
Software-Installation
Es dürfen keine Programme aus dubiosen Quellen installiert werden, auch nicht auf privaten Geräten, die geschäftlich genutzt werden. Nötigenfalls kann die IT-Abteilung eine "White List" oder "Schwarze Liste" mit erlaubten beziehungsweise verbotenen Apps erstellen.
Meldung sicherheitsrelevanter Vorfälle
Bei Verlust eines Endgeräts muss der User dies umgehend der IT-Abteilung melden, damit sie das System remote löschen oder sperren kann.
Verschlüsselung
Falls die firmeninternen Sicherheitsrichtlinien das vorsehen, müssen das System und Massenspeicher wie SD-Karten verschlüsselt werden.
Management und firmeneigene Software
Der Nutzer muss dulden, dass das Unternehmen firmenspezifische Software auf dem System installiert und es in das Systemmanagement einbindet. Dies schließt die Anbindung an Verzeichnisdienste wie Microsoft Active Directory oder LDAP mit ein. Über solche Dienste kann die IT-Abteilung rollenspezifische Zugriffsrechte vergeben.
Trennung privat - geschäftlich
Speziell bei privaten Systemen, die ein Nutzer auf im Unternehmen einsetzt, sollte eine Trennung beider Sphären gegeben sein. Das heißt beispielsweise, dass der Nutzer keine Geschäfts-E-Mails über private E-Mail-Accounts verschickt. Außerdem kann festgelegt werden, dass keine Synchronisation von privaten Daten wie Musikdateien mit Workstations im Unternehmen erfolgt.