Toegang van accounts tot informatie en systemen MOET de volgende basisprincipes in acht nemen:
Need to know
Toegang MOET beperkt zijn tot diegenen die deze toegang daadwerkelijk nodig hebben voor het uitoefenen van hun bedrijfstaken, en dit mogelijk slechts voor een bepaalde tijd;
Least Privilege
Accounts MOGEN ENKEL over de minimale rechten beschikken die noodzakelijk zijn voor het uitvoeren van hun specifieke taken of functies.
Scheiding van Taken
Conflicterende taken MOETEN door verschillende individuen met verschillende accounts worden uitgevoerd om belangenconflicten en misbruik te voorkomen;
In situaties waar scheiding van taken niet haalbaar is, MOETEN compenserende maatregelen zoals monitoring, evaluatie van audit trails en strikt managementtoezicht worden ingevoerd om de integriteit van het proces te waarborgen.
