Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.

Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.

Organisaation olisi toteutettava fyysisiä turvatoimia, joilla turvataan sähkönjakeluun ja tietoliikenneinfrastruktuuriin liittyvät ulkoiset riippuvuudet. Toimenpiteet olisi suunniteltava siten, että estetään palvelun keskeytyminen, tietojen sieppaus, luvaton pääsy tai kriittisen infrastruktuurin fyysinen vahingoittuminen.

Niihin voi kuulua kaapelireittien ja verkon päätepisteiden turvaaminen, viestintä- ja sähkölaitteiden fyysisen pääsyn rajoittaminen, infrastruktuurin suojaaminen ympäristön aiheuttamilta vaaroilta ja tarvittaessa varavirtalähteiden saatavuuden ja fyysisen turvallisuuden varmistaminen.

Organisaation olisi otettava käyttöön virallinen prosessi tietojärjestelmien ja laitteiden käytöstä poistamiseksi niiden elinkaaren lopussa. Näin varmistetaan, että kaikkia tietoja käsitellään turvallisesti ja omaisuus hävitetään asianmukaisesti.

Prosessissa olisi määriteltävä vaadittavat turvatoimenpiteet, mukaan lukien:

• Menetelmät tietojen turvallista poistamista varten kaikilta tallennusvälineiltä.
• Menettelyt tietovälineiden fyysistä tuhoamista varten silloin, kun tietojen poistaminen ei ole mahdollista tai riittävää.
• järjestelmän poistaminen omaisuusluetteloista ja verkonhallintatyökaluista.
• käytöstäpoistotoimien dokumentointi tarkastusta varten.

The organization must develop, document, and implement procedures for logical and physical access control. These must take into account:

• Access to all assets, supporting functions and locations are managed on need-to-know, need-to-use and least privileges basis. Including remote and emergency access.
• User accountability, users actions must be identifiable
• Authentication methods must commensurate with the classification and overall risk profile of the assets. They must be strong methods that are based on leading practices. They must apply to all forms of access (remote, privileged, access to assets, etc.)

Pääsyä kriittisiä järjestelmiä sisältäviin rakennuksiin tulee valvoa jatkuvasti luvattoman pääsyn tai epäilyttävän toiminnan havaitsemiseksi. Valvontakäytännöissä tulisi huomioida seuraavat asiat:

• tunkeutumishälytyksen aiheuttavat kosketus-, ääni- tai liiketunnistimet
• ulko-ovien ja ikkunoiden peitto tunnistimia käyttämällä
• henkilöstöttömien sekä muuten tärkeiden (mm. palvelin- tai viestintäteknologia) tilojen valvonta 
• hälytysjärjestelmien säännöllinen testaus

Valvontajärjestelmiin liittyvien tietojen tulee olla luottamuksellisia, koska tietojen paljastaminen voi helpottaa havaitsemattomia murtoja. Valvontajärjestelmät itsessään tulee myös suojata asiallisesti, jottei tallenteisiin tai järjestelmän tilaan pääse vaikuttamaan luvatta.

Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

• kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
• kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
• onko muilla sovelluksilla pääsyä tietoihin
• voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän

Varmistaakseen valtuutettujen käyttäjien pääsyn järjestelmiin ja estääkseen luvattoman pääsyn, organisaatio on määritellyt muodolliset prosessit seuraaviin asioihin:

• Käyttäjien rekisteröinti ja poistaminen
• Pääsyoikeuksien jakaminen
• Pääsyoikeuksien uudelleenarviointi
• Pääsyoikeuksien poistaminen tai muuttaminen

Näiden asioiden toteuttaminen tulee toteutua aina määritellyn, muodollisen prosessin kautta.