Er MOET een formeel en gedocumenteerd proces zijn voor het aanmaken, het wijzigen en het verwijderen van niet-standaard gebruikersaccount. Dit proces MOET voldoen aan volgende richtlijnen:
Accounts MOETEN worden geregistreerd in een centraal systeem;
Het aanmaken, wijzigen of verwijderen van accounts MOET worden gelogd.