Ogni azienda dovrebbe avere delle regole di controllo accessi, che derivano dalle regole di gestione delle informazioni (IMP Information Management Policy). Spesso le regole di controllo accessi fanno parte delle regole di protezione delle informazioni (IPP Information Protection Policy).
Quindi per creare le regole di gestione delle informazioni deve stabilire le regole di protezione delle informazioni in questo modo:
- Determinando gli utenti
- Definendo i ruoli
- Specificando le modalità di accesso alle risorse per ruolo