Er MOET een formeel en gedocumenteerd proces zijn voor de registratie, het wijzigen en het verwijderen van identiteiten. Dit proces MOET voldoen aan volgende richtlijnen:
Identiteiten MOETEN worden geregistreerd in een centraal systeem;
Elke fysieke persoon die toegang nodig heeft tot een systeem MOET een unieke identiteit krijgen voor alle systemen;
Een fysieke persoon MAG slechts één enkele identiteit hebben;
Het beheer van identiteiten MOET gebeuren door geautoriseerde personen binnen of namens de organisatie;
Er MOET een periodieke controle worden uitgevoerd om na te gaan of een identiteit nog noodzakelijk is;
Het aanmaken, wijzigen of verwijderen van identiteiten MOET worden gelogd.