Organisaation on määriteltävä ja otettava käyttöön menettelytavat tieto- ja viestintäteknisten käyttöoikeuksien hallintaan liittyvien roolien ja vastuualueiden jakamiseksi. Tämä sisältää:

• Vastuun määrittämisen käyttöoikeuksien myöntämisestä, tarkistamisesta ja peruuttamisesta.

Sen varmistaminen, että etuoikeutetut, hallinnolliset ja hätäkäyttöoikeudet myönnetään ainoastaan dokumentoidun tarpeen perusteella, ja:

• Erityisten tilien (ei jaettujen tai yleisten) käyttämisen.
• Valvonnan ad hoc- tai ajallisesti rajoitetun valtuutuksen avulla.

Mahdollisuuksien mukaan otetaan käyttöön automatisoituja työkaluja etuoikeutettujen käyttöoikeuksien hallintaan.

Organisaation järjestelmien käyttöoikeudet myönnetään ja hallitaan pienimmän oikeuden periaatteen mukaan. Käyttäjälle ei myönnetä enempää käyttöoikeuksia, kun on tarpeen.

Käyttöoikeuksia tarkistetaan ja myös tarpeen tullaan vähennetään, jos käyttäjällä on oikeuksia joita hän tarvitsi tehtävien suorittamiseen, mutta hän ei tarvitse niitä enään.

Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

• kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
• kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
• onko muilla sovelluksilla pääsyä tietoihin
• voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän