seja definida uma política específica por tema, sobre controle de acesso.

as regras de controle de acesso não sejam implementadas em diferentes granularidades, focando sempre no sistema inteiro.

as regras de controle de acesso não contenham elementos dinâmicos, como, por exemplo, funções que avaliam acessos passados ou valores específicos do ambiente.

as formas de controle de acesso sejam detalhadas na Política de Segurança da Informação, sem necessidade de política específica sobre o assunto.

as regras para controle de acesso físico incluam métodos como validação por senha, autenticação multifator (MFA) e Single Sign-On (SSO).