組織應建立正式的用戶注冊及注銷規程。用戶ID管理過程應該包括：

1)一使用唯上用戶ID，使得用戶與其行為鏈接起來，并對其行為負責；殖對于業務或操作而言必要時，才允許使用組ID，并宜經過批準和形成文件；

2)立即關閉或移除離開組織的用戶ID，將其作為雇員離職或承包商驗收的一個必須環

節；

3)定期核查并取消或封鎖多余的、長期未使用的用戶ID和賬號； 4)確保多余的用戶ID不會發給其他用戶。

組織要對用戶ID分配或吊銷訪問權限，宜考慮基于業務要求建立不同的用戶訪問角色， 將一部分訪問權賦予典型的用戶訪角色中。

特殊訪問權限的分配應通過符合相關控制方針的正式授權過程加以控制。

秘密驗證信息，通常是密碼、或者加密密鑰和存儲在硬件令牌的生成驗證碼的其他數據（如智能卡），要建立正式的管理過程進行控制。

管理者應定期對用戶的訪問權進行復查。包括要定期和在任何重大變更之后對用戶的訪問權進行復查，包括提升、降級或雇用終止，以及變換崗位時。對于特定的特殊權限的訪問權的授權要在更頻繁的時間間隔內進行復查；要定期核查特殊權限的分配訪問控制表，以確保不能獲得未授權的特殊權限。

所有的雇員和承包商委派人員在終止任用、合同或協議時，應終止并移除其訪問權限。 任用終止時，個人對與信息處理設備系統和服務有關的信息和資產的訪問權宜清除或暫停。 宜刪除或改變的訪問權包括物理和邏輯訪問。對于組ID，離開的人員要從組訪問列表中刪除，還要建議所有相關的其他雇員和外部人員不宜再與已離開的人員共享信息。

　　用戶應遵循組織在使用秘密驗證信息時的習慣，保密秘密驗證信息，確保其不被泄露至包括授權人員在內的任何人。避免保留秘密驗證信息的記錄（例如在紙上、軟件文件中或手持設備中），當使用口令作為秘密驗證信息時，建議選擇盡可能長的容易記憶的密碼。個人用戶的秘密驗證信息不允許共享；當使用口令作為秘密驗證信息時，在自動登錄過程中確保口令得到保護；要求雇員和承包商委派人員工作中和生活中使用不同的秘密驗證信息。