Empezando por esto:

if rs("usuario")=usuario and rs("password")=password then
session("autorizacion")=1
response.redirect "index.asp"
end if

Si el usuario y psw es correcto, le asignas la autorización 1.
¿por qué?, ¿no deberías asignar a la variable de sesión el contenido del campo autorizacion?