Ogni azienda dovrebbe avere delle regole di controllo accessi, che derivano dalle regole di gestione delle informazioni (IMP Information Management Policy). Spesso le regole di controllo accessi fanno parte delle regole di protezione delle informazioni (IPP Information Protection Policy).
Quindi per creare le regole di gestione delle informazioni deve stabilire le regole di protezione delle informazioni in questo modo:
- Determinando gli utenti
- Definendo i ruoli
- Specificando le modalità di accesso alle risorse per ruolo
Ad esempio un’azienda è costituita da 20 dipendenti:
- 4 manager
- 4 addetti alle vendite
- 4 addetti alla fatturazione
- 2 addetti alla contabilità
- 6 addetti alla produzione
i ruoli quindi potrebbero essere:
- manager
- vendite
- fatturazione
- contabilità
- produzione
inoltre in azienda è presente:
- un file server
- un application server
Ruolo del responsabile della sicurezza è quello di definire, con il supporto dei manager, le regole di protezione dei dati e implementarle.
Si potrebbe decidere ad esempio, relativamente al file server che, il ruolo produzione possa avere accesso in sola lettura alla cartella prodotti, mentre il ruolo manager possa avere accesso in lettura/ scrittura alla stessa cartella.
Il sistema di controllo accessi verrà strutturato di conseguenza.