9 Kiểm soát truy cập
9.2.2 Quản lí đặc quyền
Việc chỉ định và sử dụng các đặc quyền (bất kì đặc tính hay điều kiện nào của hệ thống thông tin đa sử dụng mà cho phép người dùng có thể ghi đè các kiểm soát hệ thống hay ứng dụng) nên được hạn chế và kiểm soát. Việc sử dụng không thích hợp các đặc quyền hệ thống thường thấy là yếu tố góp phần chính vào sự thất bại của các hệ thống mà bị vi phạm.
Các hệ thống đa sử dụng mà đòi hỏi sự bảo vệ chống việc truy cập trái phép sẽ có sự chỉ định các đặc quyền được kiểm soát qua qúa trình cấp phép chính thức. Những bước sau đây nên được quan tâm:
a) các đặc quyền kết hợp với mỗi sản phẩm hệ thống, ví dụ, hệ điều hành, hệ thống quản lí cơ sở dữ liệu và mỗi ứng dụng, và các phân loại nhân viên, nên được xác định;
b) các đặc quyền nên được chỉ định đối với các cá thể trên cơ sở cần-sử-dụng và trên cơ sở việc-từng-việc, ví dụ, yêu cầu tối thiểu đối với vai trò thiết thực của chúng chỉ khi cần;
c) quá trình cấp quyền và bản ghi của tất cả các đặc quyền được chỉ định nên được duy trì, các đặc quyền không nên được chấp thuận cho tới khi quá trình cấp phép hoàn thành;
d) sự phát triển và việc sử dụng các thủ tục hệ thống nên được xúc tiến để ngăn chặn yêu cầu cấp các đặc quyền cho những người sử dụng;
e) các đặc quyền nên được chỉ định đặc tính sử dụng khác nhau từ những thứ được dùng cho việc sử dụng thương mại thông thường.