Convém que a política leve em consideração os seguintes itens:
a) requisitos de segurança de aplicações de negócios individuais;
b) política para disseminação e autorização da informação, por exemplo, o princípio “necessidade de conhecer” e níveis de segurança e a classificação das informações (ver 8.2);
c) consistência entre os direitos de acesso e as políticas de classificação da informação em diferentes sistemas e redes;
d) legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços (ver 18.1);
e) gerenciamento de direitos de acesso em um ambiente distribuído e conectado à rede que reconhece todos os tipos de conexões disponíveis;
f) segregação de funções de controle de acesso, por exemplo, pedido de acesso, autorização de acesso, administração de acesso;
g) requisitos para autorização formal de pedidos de acesso (ver 9.2.1);
h) requisitos para análise crítica periódica de direitos de acesso (ver 9.2.5);
i) remoção de direitos de acesso (ver 9.2.6);
j) arquivo dos registros de todos os eventos significantes, relativos ao uso e gerenciamento das identidades do usuário e da informação de autenticação secreta;
k) regras para o acesso privilegiado (ver 9.2.3)
Fonte: ABNT NBR ISO/IEC 27002:2013