Varmistaakseen valtuutetun pääsyn ja estääkseen luvattoman pääsyn tietoihin ja muihin niihin liittyviin resursseihin organisaatio on määritellyt ja ottanut käyttöön selkeät säännöt fyysistä ja loogista pääsynvalvontaa varten.

Säännöt otetaan käyttöön ja niitä valvotaan useiden eri tehtävien avulla, mutta ne on myös yhdistetty pääsynvalvontapolitiikaksi selkeää viestintää ja tarkastelua varten.

Kaikki tilit, käyttöoikeudet ja etuoikeudet olisi voitava jäljittää niistä vastaavaan rooliin ja ne hyväksyneeseen henkilöön.

Organisaatio on ennalta määritellyt tunnistautumistavat, joita työntekijöiden tulisi suosia tietojärjestelmiä käytettäessä.

Useita pilvipalveluita käyttäessään käyttäjä voi itse määritellä, millä tavalla hän palveluun tunnistautuu. Yksittäinen keskitetty tunnistautumistili (esim. Google- tai Office365-tili) voi auttaa sulkemaan iso määrä pääsyoikeuksia kerralla, kun tunnistautumistapana toimiva käyttäjätili suljetaan.

The organization should ensure that passwords used for network and information systems are created and managed securely. This includes defining clear requirements for password creation, validity, and changes for all users and administrators.

When defining these requirements, the organization should consider the following:

• Minimum length: setting a minimum of set characters for passwords
• Character diversity: password must be a combination of uppercase letters, lowercase letters, numbers, and symbols.
• Contextual security: prohibiting the use of personal identifiers (e.g., birthdays, family names) or company-specific terms.
• Pattern prevention: blocking sequential characters (e.g., "123456") and common keyboard patterns (e.g., "qwerty")
• Account separation: Administrative accounts must utilize more stringent requirements than standard user accounts.
• Triggered and scheduled changes: Passwords must be changed immediately if a compromise is suspected. Also a periodic rotation must be set for password changes.

To ensure these standards are met, it is recommended that a certified password management system be used to generate, store, and protect unique, high-strength credentials.

Salasanojen hallintajärjestelmä varmistaa, että jokaisella tilillä on yksilöllinen salasana. Monivaiheistatunnistautumista (MFA) käyttäville tileille on käytäntö asettaa salasanan vähimmäispituudeksi 8 merkkiä. Tilien, joita ei ole suojattu MFA:lla, on sitä vastoin käytettävä monimutkaisia salasanoja, joiden vähimmäispituus on 14 merkkiä turvallisuuden parantamiseksi. Nämä ohjeet ovat osa laajempaa strategiaa, jolla pyritään säilyttämään salasanojen ainutlaatuisuus ja monimutkaisuus ja joka on räätälöity sen mukaan, onko käytössä MFA vai ei.

Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

• kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
• kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
• onko muilla sovelluksilla pääsyä tietoihin
• voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän

Varmistaakseen valtuutettujen käyttäjien pääsyn järjestelmiin ja estääkseen luvattoman pääsyn, organisaatio on määritellyt muodolliset prosessit seuraaviin asioihin:

• Käyttäjien rekisteröinti ja poistaminen
• Pääsyoikeuksien jakaminen
• Pääsyoikeuksien uudelleenarviointi
• Pääsyoikeuksien poistaminen tai muuttaminen

Näiden asioiden toteuttaminen tulee toteutua aina määritellyn, muodollisen prosessin kautta.