Die Zugriffssteuerungskategorie auditiert den Prozess zum Schutz von Ressourcen vor nicht autorisiertem Zugriff durch Gewährung und Ablehnung von Anforderungen basierend auf einem Berechtigungsmodell. Dies umfasst die Sicherstellung, dass eine Entität, die auf eine Ressource zugreift, gültige Anmeldeinformationen dazu enthält, einen klar definierten Satz von Rollen oder Berechtigungen zu erstellen und zu schützen und sicherzustellen, dass Rollen- oder Berechtigungssteuerungen vor Wiedergabe und Manipulation geschützt sind.

Zugriffssteuerungen bestimmen, ob der Zugriff auf eine bestimmte Ressource gewährt oder verweigert werden soll. Sie ermöglicht nur den Anwendern Zugriff auf Ressourcen, die sie verwenden dürfen.