∎ 사용자 계정을 등록
·변경
·삭제(비활성화)하는 경우 공식적으로 검토
·승인하는 절차를 수립하여야 한다.
- 계정 발급 시 해당 계정 발급의 적절성 검토 절차
- 관리자 또는 특수권한 사용자(개인정보취급자 등)에 대한 계정 발급 및 변경에 대한 적절성 검토 절차
- 발급된 계정의 접근범위 및 권한 등에 대한 사항 검토 절차
- 전보, 퇴직 등 인사이동 발생 시 계정 삭제 등의 절차
- 책임자의 승인절차
- 접근 권한 부여 기록에 대한 보관 절차
- 임시 계정 발급 (접근위치, 사용기간 등 관리) 절차
- 접근권한 부여,변경,말소 기록에 대한 보관

∎ 직무별, 역할별, 서비스 유형별 등 클라우드 시스템 접근권한을 정의한 접근권한 분류 체계를 수립하고 관리하여야 한다.
- 불필요하거나 과도하게 중요 정보 또는 개인정보에 접근하지 못하도록 권한 세분화 ∎ 접근 권한은 업무 수행에 필요한 최소한으로 할당하여야 하며, 담당자 직무에 따라 차등 부여하여야 한다.
- 정보시스템 운영직무와 개발직무간 접근계정 분리, 민간 및 공공기관 클라우드컴퓨팅 시스템간 접근계정 분리 등
※ 권한 최소 부여 및 현황 관리 예시
- 업무상 불필요한 직무자(계정)에게 권한 부여 여부 (업무 변경, 부서 변경, 퇴직자 등)
- 수행 직무, 역할별 권한 차등 부여
- 마지막 접속 후 장기간(예, 3개월 이상) 미접속된 계정
- 시스템 슈퍼 어드민 권한 등을 팀내 전체 인원에게 부여하는 경우 적절한 사유 등을 주기적으로 검토, 현황 관리 (업무 수행을 위한 필요성과 업무 수행을 위한 최소한의 권한만 부여하도록 관리)