Přístupy k aktivům musí být řízeny na základě bezpečnostních a provozních potřeb.  K řízení přístupu musí být přijata taková opatření, která zajistí ochranu přístupových a autentizačních údajů. K tomu jsou využívány i technické nástroje pro správu a ověřování identit (viz § 19 vyhlášky) a pro řízení přístupových práv a oprávnění (viz § 20 vyhlášky).

Jednotliví uživatelé a administrátoři přistupující k aktivům musí mít přidělený jednoznačný identifikátor, pomocí kterého lze určit vykonavatele operace. Řízení přístupu musí být prováděno pomocí skupin a rolí, přičemž musí být odděleny uživatelské a administrátorské účty jedné osoby. K tomu je využíván nástroj pro správu a ověřování identity podle § 19 vyhlášky a nástroj pro řízení přístupových práv a oprávnění podle § 20 vyhlášky.

Existují tyto typy účtů:

• privilegované účty,
• uživatelské účty,
• technické účty.

Bring Your Own Device

---

Pojem Bring Your Own Device se vztahuje na zaměstnance, kteří k výkonu práce využívají osobní zařízení, jako např. chytré telefony, notebooky nebo tablety. Pro spravování firemních i osobních zařízení se využívá nástroje Mobile Device Management (MDM), který může obsahovat např. tyto funkcionality:

• konfigurace mobilních zařízení,
• záloha a obnova dat,
• distribuce firmware a aplikací,
• monitoring zařízení apod.

Omezení oprávnění

---

Uživatelé a administrátoři by měli využívat přístup k aktivům pouze v rozsahu nezbytně nutném pro výkon činností vyplývajících z popisu pracovního místa či smluvního ujednání. Tento princip je běžně znám pod pojmem need-to-know. Přidělování a odebírání přístupových oprávnění by mělo být v souladu s politikou řízení přístupu. Vrcholné vedení by mělo mít přiděleno privilegované oprávnění jen v odůvodněných případech.

U přístupových oprávnění, přidělených identit a rozdělení do přístupových skupin musí docházet k pravidelnému přezkoumání z hlediska jejich nutnosti a oprávněnosti.
V případě změny pracovní pozice nebo ukončení smluvního vztahu je potřeba přístupová oprávnění bezodkladně změnit nebo odebrat. Přidělování a odebírání přístupových oprávnění musí být dokumentováno. Pro pravidelné přezkoumávání přidělených přístupových oprávnění je vhodné stanovit odpovědnou osobu.

V rámci politiky řízení přístupů se musí definovat pravidla a postupy potřebné pro omezení a kontrolu používaného softwaru a hardwaru, který by mohl narušit systémovou a aplikační bezpečnost, např.:  kontrola připojovaných USB, antivir apod.

Privilegované účty

---

Přístupová oprávnění pro privilegované účty musí být přidělována v souladu s politikou řízení přístupů. Je nutné oddělovat uživatelské a administrátorské účty jedné osoby, např. administrátor musí mít vedle privilegovaného účtu i účet běžného uživatele pro činnosti, které nevyžadují privilegovaná oprávnění. K zabezpečení řízení přístupu se pro ověření identity uživatelů, administrátorů a aplikací doporučuje maximálně využívat vícefaktorové autentizace.