組織應(yīng)建立正式的用戶注冊(cè)及注銷規(guī)程。用戶ID管理過(guò)程應(yīng)該包括：

1)一使用唯上用戶ID，使得用戶與其行為鏈接起來(lái)，并對(duì)其行為負(fù)責(zé)；殖對(duì)于業(yè)務(wù)或操作而言必要時(shí)，才允許使用組ID，并宜經(jīng)過(guò)批準(zhǔn)和形成文件；

2)立即關(guān)閉或移除離開組織的用戶ID，將其作為雇員離職或承包商驗(yàn)收的一個(gè)必須環(huán)

節(jié)；

3)定期核查并取消或封鎖多余的、長(zhǎng)期未使用的用戶ID和賬號(hào)； 4)確保多余的用戶ID不會(huì)發(fā)給其他用戶。

組織要對(duì)用戶ID分配或吊銷訪問權(quán)限，宜考慮基于業(yè)務(wù)要求建立不同的用戶訪問角色， 將一部分訪問權(quán)賦予典型的用戶訪角色中。

特殊訪問權(quán)限的分配應(yīng)通過(guò)符合相關(guān)控制方針的正式授權(quán)過(guò)程加以控制。

秘密驗(yàn)證信息，通常是密碼、或者加密密鑰和存儲(chǔ)在硬件令牌的生成驗(yàn)證碼的其他數(shù)據(jù)（如智能卡），要建立正式的管理過(guò)程進(jìn)行控制。

管理者應(yīng)定期對(duì)用戶的訪問權(quán)進(jìn)行復(fù)查。包括要定期和在任何重大變更之后對(duì)用戶的訪問權(quán)進(jìn)行復(fù)查，包括提升、降級(jí)或雇用終止，以及變換崗位時(shí)。對(duì)于特定的特殊權(quán)限的訪問權(quán)的授權(quán)要在更頻繁的時(shí)間間隔內(nèi)進(jìn)行復(fù)查；要定期核查特殊權(quán)限的分配訪問控制表，以確保不能獲得未授權(quán)的特殊權(quán)限。

所有的雇員和承包商委派人員在終止任用、合同或協(xié)議時(shí)，應(yīng)終止并移除其訪問權(quán)限。 任用終止時(shí)，個(gè)人對(duì)與信息處理設(shè)備系統(tǒng)和服務(wù)有關(guān)的信息和資產(chǎn)的訪問權(quán)宜清除或暫停。 宜刪除或改變的訪問權(quán)包括物理和邏輯訪問。對(duì)于組ID，離開的人員要從組訪問列表中刪除，還要建議所有相關(guān)的其他雇員和外部人員不宜再與已離開的人員共享信息。

　　用戶應(yīng)遵循組織在使用秘密驗(yàn)證信息時(shí)的習(xí)慣，保密秘密驗(yàn)證信息，確保其不被泄露至包括授權(quán)人員在內(nèi)的任何人。避免保留秘密驗(yàn)證信息的記錄（例如在紙上、軟件文件中或手持設(shè)備中），當(dāng)使用口令作為秘密驗(yàn)證信息時(shí)，建議選擇盡可能長(zhǎng)的容易記憶的密碼。個(gè)人用戶的秘密驗(yàn)證信息不允許共享；當(dāng)使用口令作為秘密驗(yàn)證信息時(shí)，在自動(dòng)登錄過(guò)程中確保口令得到保護(hù)；要求雇員和承包商委派人員工作中和生活中使用不同的秘密驗(yàn)證信息。