Infoturbe seisukohast on üheks kriitiliseks komponendiks infosüsteemide kaitsmisel hästi läbimõeldud pääsuõiguste poliitika. See aitab tagada, et tundlikud andmed oleksid kättesaadavad ainult õigetele inimestele ja ainult vajalikul määral. Pääsuõiguste poliitika on reeglite ja protseduuride kogum, mis määrab, kuidas ja kellele antakse juurdepääs erinevatele failidele, rakendustele, võrkudele ja andmebaasidele. Selle eesmärk on kaitsta organisatsiooni infovara loata juurdepääsu, muutmise või hävitamise eest. Infovarade pääsuõiguste poliitikasse tuleks haarata kohe ka füüsilised ligipääsud nagu nt tõkepuu puldid, uksekaardid ja erinevad võtmed, et hallata kõiki ligipääse keskselt.

• Minimaalsete õiguste põhimõte - Igal töötajal või süsteemil peaksid olema ainult need õigused, mis on tema tööfunktsioonide täitmiseks vajalikud. Kõik, mis pole lubatud, peaks olema keelatud.
• Rollipõhine juurdepääs - Kasutajatele määratakse õigused nende töörolli alusel. See lihtsustab juurdepääsu haldamist ja vähendab vigade riski.
• Baasõigused - kasutajale antakse õigus autentida end mõne süsteemi kasutajaks, näiteks töötajal on õigus pääseda organisatsiooni intranetti. Samuti tuleks siin kohselt määrata kas baasõigused lubavad lisaks vaatamisele ka dokumente muuta või kustutada? Füüsilise juurdepääsu osas võivad baasõigusteks olla võti või võtmed, mis avavad näiteks ainult üldise välisukse ja töötaja kabineti ukse. Baasõiguste hulka kuulub kindlasti ka töötaja töö e-maili konto koos ligipääsudega. Baasõigustega võib kindlaks määrata kas töötajal on võimalik ja õigus siseneda intranetti ja kasutada e-maili ka kaugtööl olles või tuleks see kehtestada konkreetsele ametipositsioonile näiteks eriõiguste raames.
• Rollipõhised õigused – kasutajal on lubatud kasutada infosüsteeme ja programme ning füüsilisi ligipääse, mis on vajalikud tema tööülesannete täitmiseks. Näiteks raamatupidajal on õigus kasutada finantstarkvara ja teha sinna kandeid ehk muuta. Samas ka müügijuhil võib olla samuti ligipääsud raamatupidamistarkvarasse, ent tema rollipõhised õigused lubavad vaid vaadata ning arveid koostada. Füüsiliste ligipääsude osas võiks raamatupidajal olla nt ligipääs dokumentide arhiivile, samas kui müügijuht tõenäoliselt iseseisvalt ilma saatjata sinna siseneda ei peaks saama.
• Eriõigused - võimaldavad kasutajatel teha toiminguid, mis tavapäraselt selles töises rollis ei peaks olema temale lubatud, ent tulenevalt mingisugusest objektiivsest põhjusest on talle antud mingi konkreetne eriõigus. Eriõiguste taotlemine, kasutamine ja nende lõpetamine peab olema rangelt kontrollitud, sest nende väärkasutamine võib ohustada süsteemi turvalisust ja andmete terviklikkust.
• Regulaarne ülevaatus ja audit - Pääsuõigused peaksid olema regulaarselt üle vaadatud, et tagada nende asjakohasus. Näiteks kui töötaja lahkub ettevõttest või vahetab ametikohta, tuleb tema õigused kas tühistada või viia uue rolliga vastavusse. Pääsuõiguste regulaarsete ülevaatuste käigus tuvastatake passiivseid kasutajakontosid ning võimalikke vigu õiguste varasemal määramisel.
• Ajaline piiramine – Kõikvõimalike õiguste andmisel tuleks need alati ajaliselt piiritleda nii nende algus kui ka õiguste lõppemine. Õigused võivad olla antud tähtajatult ehk siis nad lõppevad töösuhte lõppemisel ja/või kui töötaja asub organisatsiooni sees uuele ametipositsioonile, misjärel tema rollipõhised õigused tühistatakse ja antakse uued rollipõhised õigused vastavalt uuele tööpositsioonile. Aga õigused võivad olla ka tähtajalised näiteks kui töötaja asendab puhkuse või haiguse ajal mõnda töötajat. Üsna sageli kasutatakse tähtajalisi õigusi väliste koostööpartnerite puhul.
• Mitmetasandiline autentimine (MFA) - Pääsuõiguste turvalisuse suurendamiseks tuleks kasutada mitut autentimistasandit. Tänapäeval peaks see olema igas organisatsioonis baashügieeni elementaarne osa.
• Logimine ja jälgimine - Iga juurdepääsu- ja muutmisüritus peaks olema logitud, et kahtlaste tegevuste korral oleks võimalik kiiresti reageerida.

Pääsuõiguste igapäevases haldamises peavad kõik protsessid olema selgesti määratletud ja dokumenteeritud:

• Kes saab taotleda õiguste ja/või ligipääsude andmist, muutmist või sulgemist?
• Kõik õiguste andmise, muutmise ja eemaldamise protsessid peaksid olema selgelt dokumenteeritud ja hõlpsasti jälgitavad.
• Õiguste taotlus tuleks teha üldjuhul iga kasutaja kohta eraldi.
• Kes ja kuidas kinnitab organisatsioonis õiguste andmise? Kas selleks on töötaja vahetu juht või nt eriõiguste osas infoturbe eest vastutav isik?
• Välise partneri poolt taotletud eriõiguste omistamise aluseks peaks alati olema sõlmitud leping, mille alusel töid teostatakse ning mis käsitleb kindlasti ka NDA.