Řízení privilegovaných přístupových práv. Privilegovaný přístup k prvku IS může mít přidělen pouze pracovník, který je pověřen administrací (obdobně platí i pro účty umožňující částečnou administraci, např. backup). Seznam pracovníků s administrátorskými resp. privilegovanými oprávněními musí být součástí provozní dokumentace. Administrátorské účty se nesmějí používat pro činnosti nesouvisející s administrací. Pro běžnou agendu musí administrátor využívat neprivilegovaného účtu, pro jednotlivý administrativní zásah je doporučeno používat příkazy pro spuštění aplikace s jinými právy, než je aktuální login (‘runas‘ resp. ‘su do‘), případně bezpečné (např. „ssh“) připojení ke službě vyhrazené na daném serveru pro administraci umožňující pouze lokální připojení. Toto ustanovení se nevztahuje na uživatelské účty, které mají přidělená administrátorská práva pro pracovní stanice. Pro administraci i jakoukoliv jinou činnost je zakázáno přímé přihlašování k implicitním (defaultním) systémovým účtům určeným pro administraci. Musí být vytvořen účet pro každou fyzickou osobu provádějící administraci, která následně použije utilitu ‘runas‘ resp. ‘su do‘, případně použije bezpečné (např. „ssh“) připojení ke službě vyhrazené na daném serveru pro administraci umožňující pouze lokální připojení. Administrátoři jsou povinni účelně používat všechny dostupné mechanismy pro řízení přístupu (např. ACL či nastavení packet filtru na síťovém rozhraní). Pokud je to technicky možné, jsou povinni využívat přidaných hodnot trusted systémů. Administrátoři jsou povinni využívat možnosti nastavovat práva ke zdrojům OS (např. práva zapisovat do registrů, skupina wheel u UNIXu a podobně), pokud je takové nastavení účelné.
