A Os acessos concedidos devem ser registrados e revisados em intervalo mínimo de seis meses.
B As comunicações de maior criticidade devem ser identificadas, para que seja implementada a proteção na comunicação exclusivamente dessa rede objetivando melhor eficiência.
C Os acessos a recursos empresariais individuais devem ser feitos com o mínimo de privilégios e concedidos por sessão.
D Os privilégios de acesso a recursos podem ser feitos com base em modelos previamente definidos ou replicados das permissões de outros usuários já existentes.