assegurar que o controle de acesso de usuários a sistemas seja realizado como uma política corporativa geral, sem o envolvimento de proprietários de dados ou sistemas.

assegurar a identificação de todos os usuários e suas atividades nos sistemas de modo exclusivo, definindo os seus direitos de acesso aos sistemas e dados, em conformidade com as necessidades dos negócios e com os requisitos da função.

definir e comunicar claramente os riscos potenciais de segurança de cada papel de usuário para que possam ser criadas políticas corporativas adequadas de acesso à informação.

definir as tecnologias que serão utilizadas para identificar usuários, em cada um dos sistemas e, separadamente, na infraestrutura, designando onde serão utilizados recursos, como senhas ou identificação biométrica.

identificar os usuários dos sistemas e da infraestrutura das áreas de negócio e TI de modo individual, gerenciando separadamente os que dispõem de acesso privilegiado, como administradores, para garantia da segurança corporativa.