Het creëren van niet-standaard gebruikersaccounts MOET volgende richtlijnen in acht nemen:
Accounts MOETEN worden aangemaakt voor en toegewezen aan natuurlijke personen (individuen) die voor of namens de organisatie werken (intern personeel en contractanten) om dagelijkse taken uit te voeren;
Elke gebruiker MOET kunnen worden geïdentificeerd door een unieke identiteit, dit MOET een sterke identiteit zijn voor systemen die data bevatten met Informatieklasse 3 en hoger;
Aan één en dezelfde medewerker MAG SLECHTS ÉÉN enkele account worden toegekend per systeem;
Elke account MOET een unieke naam hebben en er MOETEN regels worden opgesteld om de naamgeving te bepalen.
