Kullanıcı risk katmanı bir kuruluşun bilgi sistemlerine erişim yetkisi olan insanları ifade etmektedir. Kullanıcılar, sistemlere,uygulamalara ve verilere tanımlanana erişim yetkileri çerçevesinde erişim sağlamalıdırlar. Veri güvenliği politikalarına ve erişim yönergelerine uyum sağlamaları için gerekli çalışmalar yapılmalıdır. Çalışanlar kullandıkları bilgi teknolojisi kaynaklarından sorumludurlar, erişim yönergelerine uyum kontrolü bilgi işlem departmanı tarafında izlenmelidir.