Một trong những nguy cơ gây mất an toàn cho hệ thống thông tin cần bảo vệ là người quản trị không cấp phát quyền hạn đúng hoặc cấp sai cho người truy cập. Một số quyền cơ bản của các hệ thống:
+ Quyền đọc (Read): Người truy cập chỉ được phép xem thông tin trong một phạm vi nhất định hoặc toàn bộ thông tin trong hệ thống.
+ Quyền cập nhật (Update): Người truy cập được phép sửa đổi thông tin trong một phạm vi nhất định nào đó. Quyền này là cần thiết, vì trong một số trường hợp ta chi cho phép người truy cập được bổ sung thông tin mà không được phép sửa đổi thông tin đó kể cả thông tin mà mình đã nhập.
+ Quyền bổ sung (Append): Người truy cập được phép bổ sung thông tin trong phạm vi được người quản trị cho phép.
+ Quyền thực thi (Excute): Đối với một số tệp tin ứng dụng, người truy cập có thể được phép “chạy” chương trình đó.
+ Quyền phê duyệt (Approve): Đối với chương trình quản lý, người quản trị cho phép người truy cập phê duyệt một số chức năng quản lý. Ví dụ như: Phê duyệt lương cán bộ, phê duyệt khen thưởng, phê duyệt lên lớp cho học sinh...
Ngoài ra đối với đối tượng truy cập ta chia ra các cấp độ bảo mật khác nhau. Để từ đó phân phối quyền truy cập phù hợp với mỗi đối tượng.
Quá trình phân nhóm, phân công chi tiết cụ thể mỗi nhóm người dùng hoặc người dùng đỏi hỏi người phân công phải có góc độ nhìn tổng quan về hệ thống cần kiểm soát mỗi khi có sự chống chéo về chức năng. Để tránh mất kiểm soát truy cập vào hệ thống thông tin khi phân công không đúng chức năng với người dùng. Ví dụ trong trường hợp có nhiều chức năng chỉ được phân công bởi một nhóm người dùng hoặc một người dùng.
Hình 2.1. Mô hình phân công chức năng tướng ứng người truy cập và đối tượng được truy cập