Virksomheten skal utarbeide prosedyrer for passord og passordhåndtering. Rutinene skal beskrive krav til passord, krav til hvordan passord brukes og hvordan passord forvaltes.
Krav til passord må tilpasses risiko og omstendighetene ellers.
Passord kan brukes alene eller sammen med andre autentiseringsfaktorer for å få tilgang til systemer eller ressurser. Om det er forsvarlig å bruke passord alene, eller om det skal kreves flere faktorer, vil bero på omstendighetene.
