Der etableres procedurer – om muligt teknisk – hvorved der sikres funktionsadskillelse mellem brugere (dem, som anvender adgange), de autorisationsansvarlige (dem, som godkender adgange) og brugeradministratorer (dem, som opretter/nedlægger adgange). Der kan også være et fjerde led, hvis fx en it-driftsmedarbejder i praksis opretter/nedlægger adgange på vegne af brugeradministratoren.
Funktionsadskillelse gennemføres ved en skarp adskillelse i arbejdsopgaver og adgangsrettigheder, hvor ovennævnte personers opgaver/adgange så vidt muligt ikke overlapper. Fx må en brugeradministrator ikke godkende sin egen adgang til et it-system, og hvis det ikke kan forhindres teknisk, skal der være en godkendelsesprocedure, som sikrer valid dokumentation for den autorisationsansvarliges godkendelse. Ved manuelle blanketbaserede procedurer kan det være nødvendigt at udforme autorisationsblanketten, så der ikke kan rettes i den, efter den autorisationsansvarlige har godkendt adgangen.
Der fastsættes regler imod eller etableres en teknisk forhindring af, at en autorisationsansvarlig kan godkende ændringer i sin egen adgang.
Hvis muligheden er til stede i it-systemet, begrænses brugeradministrators adgangsrettigheder til kun at give mulighed for rettighedsstyring i it-systemet. Således kan brugeradministratoren ikke selv tilgå data i det it-system, hvor han/hun styrer andres adgange til data.
Ved tildeling af nye adgange ifm. nyansættelse eller omrokering i organisationen fastsættes procedurer eller beskrivelser, som sikrer, at der ikke kan opstå en situation, hvor en medarbejder får adgange på tværs af den ønskede funktionsadskillelse. Det kan evt. sikres gennem den formular, som anvendes ved tildeling af adgangsrettigheder.
Det sikres, at adgange, som kun har et it-driftsmæssigt formål, udelukkende gives til it-driftspersonale med rette uddannelse, og hvis muligt også tidsbegrænset.
Funktionsadskillelse er ikke kun relevant mellem mennesker, men også mellem robotter. Hvis der anvendes RPA (Robotic Process Automation) eller lignende, og man i den forbindelse giver adgangsrettigheder til robot-brugere, kan det fremstå som om manglende funktionsadskillelse ikke indebærer samme risici, som hvis samme rettigheder var samlet hos én fysisk person. Økonomisk besparelse på robot-brugerlicenser kan friste til at give en robot så mange adgangsrettigheder som muligt, men det kan udgøre en højere risiko, hvis fx en hacker eller softwareudvikler får mulighed for at misbruge denne robots rettigheder.