Een beleid voor toegangsbeheersing behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen.

Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.

Er behoort een formele registratie- en afregistratieprocedure voor gebruikers te worden geimplementeerd.

Er behoort een formeel proces voor het verlenen van gebruikerstoegang te worden geimplementeerd.

De toewijzing en het gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.

De toewijzing van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.

Eigenaren van bedrijfsmiddelen behoren de toegangsrechten van gebruikers regelmatig te beoordelen.

De toegangsrechten van alle medewerkers en externe gebruikers behoren bij beeindiging van dienstverband te worden verwijderd.

Van gebruikers behoort te worden verlangd dat zij zich bij het gebruik van geheime authenticatie-informatie houden aan de praktijk van de organisatie.

De toegang tot informatie en systeemfuncties behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeheersing.

De toegang tot systemen behoort te worden beheerst door een beveiligde inlogprocedure.

Systemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen.

Het gebruik van systeemhulpmiddelen die beheersmaatregelen kunnen omzeilen behoort te worden beperkt.

Toegang tot de broncode van programmatuur behoort te worden beperkt.