کنترل دسترسی تنها محدود به راهکارهای فنی نمی باشد. بخشی از کنترل های دسترسی مربوط به سیاست ها و تصمیم گیری های مدیریت ارشد است. مديريت ارشد بايد در خصوص نقش امنيت اطلاعات در سازمان خصوصاً در زمينه اهداف و راهبردها تصميم بگيرد. کنترل های مدیریتی بخشی از وظیفه مدیریت در حوزه امنیت اطلاعات به شمار می روند.
اين رهنمودها مشخص ميسازند كه ساير مولفهها چگونه كار ميكنند. کنترل های مدیریتی ، سیاست ها و رویه های کنترل دسترسی را مشخص می سازند. براساس کنترل های مدیریتی است که راهکارهای فنی و فیزیکی تعیین می گردند. در بسیاری از سازمان ها، کنترل های مدیریتی در زمینه تنظیم و محدود نمودن دسترسی مغفول می ماند. عدم پرداختن مدیریت به کنترل های مدیریتی نافی مسئولیت های آنها در این حوزه نمی باشد. مهمترین کنترل های مدیریتی عبارتند از:
سياستها و رويهها
يكي از مهمترين مباني امنيت در يك سازمان سياست امنيتي است. وظيفه مديريت است تا سياست هاي امنيتي سازمان را ارائه نمايد. بر مبناي سياستهاي امنيتي كه توسط مديريت ارائه ميشود، رويهها و دستورالعملهاي اجرايي كنترل دسترسي تهيه ميگردد. اين روشها همچنين مشخص مينمايند كه كنترلها چگونه آزمون شوند تا تحقق اهداف سازمان را تضمين كنند. اين كنترلها مديريتي بوده و در بالاترين سطح مطرح ميشوند.
كنترلهاي پرسنلي
اين كنترلها انتظارات سازمان را در خصوص شيوه مواجهه با امنيت اطلاعات مشخص ميسازند. در اين كنترلها مشخص ميشود كه در زمان استخدام، اخراج يا انتقال افراد بايد چه اقداماتي از ديدگاه امنيتي انجام شود. به ازاي هريك از اين شرايط بايد يك رويه خاص تدوين شود. اين رويهها بايد با همكاري واحد مديريت منابع انساني و واحد مديريت حقوقي تهيه گردند.
ساختار نظارت
مديريت بايد ساختاري را براي نظارت تعريف نمايد به نحوي كه هر فرد تحت نظارت فرد ديگري بوده و به فرد مافوق پاسخگو باشد. فرد مافوق نيز مسئوليت اقدامات زيردستان را بر عهده دارد. اين باعث ميشود كه مدير نيز مسئوليت اقدامات افراد زيردست را بپذيرد. در صورتيكه كاركنان به اطلاعات محرمانه اعتباري مشتريان به صورت غيرمجاز دسترسي پيدا كنند كاركنان و مدير بايد در مقابل عواقب اين موضوع پاسخگو باشند.
آموزش امنيت اطلاعات
آموزش كاركنان در حوزه امنيت اطلاعات بسيار ضروري است از اين رو مديران بايد بين مقوله به صورت جدي توجه كنند. مديران بايد ارزش آموزش و فرهنگسازي در حوزه امنيت اطلاعات را درك كنند. امنيت يك سازمان به فناوري و نيروي انساني وابسته است و نيروي انساني ميتواند به عنوان ضعيفترين حلقه مطرح شود. در صورتيكه كاركنان در خصوص اهميت كنترلهاي دسترسي و دليل رعايت آنها اطلاع داشته باشند باعث ميشود كه بسياري از رخدادهاي امنيتي سازمان كاهش يابد.
آزمون
تمامي كنترلهاي امنيتي، مكانيزمها و رويهها بايد براساس يك رويه مشخص مورد آزمون قرار گيرند. هدف از انجام اين آزمونها حصول اطمينان از تحقق اهداف، سياستها و مقاصد امنيتي است. اين آزمونها ممكن است در قالب واكنش به يك تهديد امنيتي، انجام آزمونهاي نفوذ، شناسايي آسيبپذيريها، شناسايي ميزان دانش كاركنان در خصوص امنيت اطلاعات، مرور رويهها و استانداردها، انجام شوند. به دليل اينكه تغييرات به صورت مستمر رخ ميدهند و محيط به صورت ثابت در حال تغيير هست، رويهها و استانداردها و مكانيزمهاي امنيتي نيز بايد مستمر بازنگري و آزمون شوند. تا اطمينان حاصل شود كه آنها توانايي پاسخگويي به تهديدهاي جديد را دارند.