Organisaation olisi otettava käyttöön prosessi, jonka avulla sen verkko- ja tietojärjestelmien epäaktiiviset käyttäjä- ja järjestelmänvalvojatilit voidaan automaattisesti sulkea. Prosessissa olisi määriteltävä selkeästi kriteerit, joiden perusteella toimimattomat tilit tunnistetaan, toimimattomuuden hyväksyttävä kesto, keskeyttämismenetelmä sekä menettelyt, joilla käyttäjille ilmoitetaan ennen käytöstä poistamista ja joilla tilit aktivoidaan tarvittaessa uudelleen.

Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.

Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.

Tilinhallintamenettelyillä on varmistettava, että käyttöoikeudet myönnetään, muutetaan tai peruutetaan turvallisesti ja valvotusti kaikille käyttäjä- ja yleisille tileille, myös järjestelmänvalvojatileille. Keskeisiä säännöksiä ovat muun muassa seuraavat:

Roolien ja vastuualueiden jakaminen:

• Käyttöoikeuksien myöntäminen, tarkistaminen ja peruuttaminen.
• Järjestelmän omistajien, esimiesten ja IT-/turvaryhmien osallistuminen.

Käyttöoikeuksien myöntämisen on oltava:

• Perustuttava käyttötarpeeseen tai tapauskohtaisiin vaatimuksiin.
• Sovellettava etuoikeutettuihin, hätä- ja järjestelmänvalvojan käyttöoikeuksiin.
• Asianmukaisesti valtuutettu ja dokumentoitu.

Käyttöoikeuden peruuttamisen on oltava:

• Tapahtuttava ilman aiheetonta viivytystä työsuhteen päättyessä.
• Pantava täytäntöön välittömästi, kun käyttöoikeutta ei enää tarvita.

Käyttöoikeuksien päivitysten ja tarkistusten on oltava:

• Toteutettava tarvittaessa muutosten yhteydessä.
• Tarkistettava vähintään kerran vuodessa kaikkien tieto- ja viestintäteknisten järjestelmien osalta.
• Tarkistettava vähintään 6 kuukauden välein kriittisiä tai tärkeitä toimintoja tukevien järjestelmien osalta.