Em relação aos controles de acesso, a Norma ABNT NBR ISO/IEC 27002:2013 recomenda que
os proprietários dos ativos determinem regras apropriadas de controle de acesso, direitos de acesso e restrições para papéis específicos dos usuários acessarem seus ativos, com o nível de detalhe e o rigor dos controles que reflitam os riscos de segurança da informação associados
os proprietários dos ativos sejam os responsáveis por definir a política de controle de acesso da organização, ficando responsáveis pela sua documentação e análise crítica com base nos requisitos de segurança da informação e dos negócios.
a política de controle de acesso da organização seja feita em documentos e por pessoas distintas, cada qual ficando responsável por elaborar os controles de acesso lógico, os controles de acesso físico e os controles operacionais de forma separada, visando mitigar os riscos de segurança da informação.
seja estabelecida a regra “tudo é permitido a menos que expressamente proibido”, que é mais forte que a regra “tudo é proibido a menos que expressamente permitido”.
seja contemplada a regra geral para todos os perfis de acesso “você não tem permissão para acessar nenhuma informação” para que somente o proprietário da informação possa liberar o acesso à informação quando esta for necessária ao desempenho da função.