Ein Berechtigungskonzept ist ein dokumentiertes Schema, das festlegt, welche Personen oder Rollen auf welche Systeme, Daten und Funktionen zugreifen dürfen. Es bildet die Grundlage für die operative Zugriffssteuerung.
ISO 27001 Annex A Control A.5.15 (Zugriffskontrolle) und A.5.18 (Zugriffsrechte) verlangen ein dokumentiertes Berechtigungskonzept. Zentrale Prinzipien sind Least Privilege (nur die minimal nötigen Rechte), Need-to-Know (Zugriff nur bei dienstlichem Bedarf) und Funktionstrennung (Segregation of Duties). Das Konzept definiert typischerweise Rollen, Rollenprofile, Genehmigungs- und Entzugsprozesse sowie den Rhythmus der Berechtigungsüberprüfung (Access Review). In der Praxis wird das Konzept über Active Directory, LDAP oder IAM-Systeme technisch umgesetzt.