La catégorie de contrôle d’accès audite le processus de protection des ressources contre tout accès non autorisé en accordant et en refusant des demandes basées sur un modèle d’autorisation. Il s’agit notamment de s’assurer qu’une entité accédant à une ressource détient des informations d’identification valides pour ce faire, de créer et de protéger un ensemble bien défini de rôles ou d’autorisations et de s’assurer que les contrôles des rôles ou des autorisations sont protégés contre la relecture et l’altération.

Les contrôles d’accès déterminent si l’accès à une ressource particulière doit être accordé ou refusé. L’accès aux ressources n’est autorisé qu’aux utilisateurs autorisés à les utiliser.