大型标准（ISO、NIST）倾向于一刀切，真正的目的是促进仔细考虑，以及深思熟虑和知情的决策。诸如此类的特定值是良好策略实施的属性，稍微抽象的标准往往只推荐最大值或最小值，即使是这样。

这样的“控制”通常由特定标准分配一个持久的、唯一的标识符，这里常用的是AC-11和SC-10（来自NIST SP800-53 (PDF)）和FTA_SSL（来自 ISO/IEC 15408 ，又名信息技术安全评估通用标准，“FTA”是访问控制类，“SSL”是指会话锁定）。

大致从更具体到不太具体：

• OMB M-06-16 (PDF) 美国总统备忘录保护敏感机构信息

   3. 对远程访问和移动设备在闲置 30 分钟后需要用户重新认证使用“超时”功能；和

• 澳大利亚DSD 信息安全手册 2013 控制 会话和屏幕锁定，控制 0427

  · 配置锁以激活：

  • 系统用户不活动最多 15 分钟后
  • 如果由系统用户手动激活

  （另见控制 0428，其中规定“机密”和“秘密”级别为 10 分钟）。2014 年版未更改。

• 美国CNSS CNSSI-1253 国家安全系统的安全分类和控制选择

  控制 AC-11会话锁定

  ...不超过 30 分钟

• NIST SP800-53 为联邦信息系统和组织推荐的安全控制

  NIST SP800-46 企业远程办公和远程访问安全指南

  控制 AC-11会话锁定：超时是“组织定义的”（另见加拿大ITSG-41）控制 SC-10网络断开

  SP800-46 建议 15 分钟适合远程访问（第 4-3 页）

• PCI-DSS v2

  8.5.15 如果会话空闲超过 15 分钟，要求用户重新认证以重新激活终端或会话。

  （在 v3 中，要求已重新编号为 8.1.8，但其他方面保持不变）和

  12.3.8 在特定时间不活动后自动断开远程访问技术的会话

• 美国 FBI/DoJ CJISD-ITS-DOC-08140-5.2 刑事司法信息服务安全政策

  5.5.5 会话锁定

  信息系统应通过在最多 30 分钟不活动后启动会话锁定来防止进一步访问系统，并且会话锁定一直有效，直到 [...]

• ECMA ECMA-271扩展的面向商业的安全评估功能类

  7.4.1.8 会话锁定或终止 TOE 应支持会话锁定。TOE 应为每个前端提供一个空闲进程监视器，该监视器在客户定义的时间量之后禁止用户交互，但用户身份验证除外。

  与ISO/IEC 17799:2000相同的时间框架相当旧（1999 年 12 月），遗憾的是从未被 ECMA 更新。TOE是 Target Of Evaluation，一些通用标准术语。

• ISO 27001:2005(E)/ISO 27002:2005(E)（有关有用的概述，请参阅本文档） 控制 A.11.3.3清除桌面和清除屏幕政策 §11.3.3.3

  清晰桌面和清晰屏幕政策应考虑信息分类（见 7.2）、法律和合同要求（见 15.1）以及组织的相应风险和文化方面。

  另见§11.5.5会话超时

• 网络安全委员会关键安全控制v5.1

  CSC 16-6 在系统上配置屏幕锁定以限制对无人值守工作站的访问。

• CERT知识和信息管理 (KIM) KIM:SG4.SP2 控制对信息资产的访问

  [...] 组织必须决定控制的正确组合，以解决各种形式的信息资产和资产的任何特殊考虑。

一旦正确定义了风险和要求并记录了决策，使用自己的价值观绝对没有错。您甚至可以决定会话锁定豁免（例如，在空中交通管制的情况下，或具有增强物理安全性的位置），或强制使用接近设备。

就其性质而言，标准必须比这更普遍，以便它们对广泛的组织有用。即使在您自己的组织中，您也怀疑有两个合理的价值观 - 始终位于访问受控空间中的机器可能比那些可能在公共场所无人看管的机器具有更松散的安全性。

也许这有助于温和地提醒您的用户，您必须这样做是他们的错：

“当您无人看管时，您应该始终锁定您的计算机。说明如何操作。如果您忘记了，您的工作站会在活动x分钟后自动锁定。”

互联网安全中心在 Windows 7 基准测试中说 15 分钟。https://benchmarks.cisecurity.org/它没有提到移动用户和办公室用户的区别。