sejam normalmente utilizados programas utilitários privilegiados de modo a sobrepor com segurança os controles dos sistemas e aplicações.

as regras de controle de acesso sejam baseadas na premissa de que “Tudo é permitido a menos que expressamente proibido”, de modo a simplificar a implementação dos controles.

as atividades normais de negócio sejam realizadas com IDs privilegiadas apenas após processo de aprovação e documentação.

seja adotado um bom procedimento de entrada nos sistemas (log-on), informando ao usuário, em caso de erro, qual das informações fornecidas está incorreta.

a política de controle de acesso leve em consideração a consistência entre os direitos de acesso e as políticas de classificação da informação de sistemas e redes.