No precisamente.
Mi pregunta es si no deberías asiganar a la variable de session el tipo de permiso una vez que haz determinado que el usuario y el password estan en la BD's, algo así:

if rs("usuario")=usuario and rs("password")=password then
session("autorizacion")=rs("NivelDeAcceso")
response.redirect "index.asp"
end if