組織應(yīng)建立正式的用戶注冊及注銷規(guī)程。用戶ID管理過程應(yīng)該包括：

1)一使用唯上用戶ID，使得用戶與其行為鏈接起來，并對其行為負責；殖對于業(yè)務(wù)或操作而言必要時，才允許使用組ID，并宜經(jīng)過批準和形成文件；

2)立即關(guān)閉或移除離開組織的用戶ID，將其作為雇員離職或承包商驗收的一個必須環(huán)

節(jié)；

3)定期核查并取消或封鎖多余的、長期未使用的用戶ID和賬號； 4)確保多余的用戶ID不會發(fā)給其他用戶。

組織要對用戶ID分配或吊銷訪問權(quán)限，宜考慮基于業(yè)務(wù)要求建立不同的用戶訪問角色， 將一部分訪問權(quán)賦予典型的用戶訪角色中。

特殊訪問權(quán)限的分配應(yīng)通過符合相關(guān)控制方針的正式授權(quán)過程加以控制。

秘密驗證信息，通常是密碼、或者加密密鑰和存儲在硬件令牌的生成驗證碼的其他數(shù)據(jù)（如智能卡），要建立正式的管理過程進行控制。

管理者應(yīng)定期對用戶的訪問權(quán)進行復(fù)查。包括要定期和在任何重大變更之后對用戶的訪問權(quán)進行復(fù)查，包括提升、降級或雇用終止，以及變換崗位時。對于特定的特殊權(quán)限的訪問權(quán)的授權(quán)要在更頻繁的時間間隔內(nèi)進行復(fù)查；要定期核查特殊權(quán)限的分配訪問控制表，以確保不能獲得未授權(quán)的特殊權(quán)限。

所有的雇員和承包商委派人員在終止任用、合同或協(xié)議時，應(yīng)終止并移除其訪問權(quán)限。 任用終止時，個人對與信息處理設(shè)備系統(tǒng)和服務(wù)有關(guān)的信息和資產(chǎn)的訪問權(quán)宜清除或暫停。 宜刪除或改變的訪問權(quán)包括物理和邏輯訪問。對于組ID，離開的人員要從組訪問列表中刪除，還要建議所有相關(guān)的其他雇員和外部人員不宜再與已離開的人員共享信息。

　　用戶應(yīng)遵循組織在使用秘密驗證信息時的習(xí)慣，保密秘密驗證信息，確保其不被泄露至包括授權(quán)人員在內(nèi)的任何人。避免保留秘密驗證信息的記錄（例如在紙上、軟件文件中或手持設(shè)備中），當使用口令作為秘密驗證信息時，建議選擇盡可能長的容易記憶的密碼。個人用戶的秘密驗證信息不允許共享；當使用口令作為秘密驗證信息時，在自動登錄過程中確保口令得到保護；要求雇員和承包商委派人員工作中和生活中使用不同的秘密驗證信息。