Die Zugriffskontrollkategorie prüft den Prozess des Schutzes von Ressourcen vor nicht autorisiertem Zugriff durch Gewähren und Verweigern von Anforderungen basierend auf einem Berechtigungsmodell. Dazu gehört es sicherzustellen, dass eine Entität, die auf eine Ressource zugreift, über gültige Anmeldeinformationen verfügt, ein wohl definierter Satz von Rollen oder Berechtigungen erstellt und geschützt wird und sichergestellt wird, dass Rollen- oder Berechtigungssteuerungen vor Wiedergabe und Manipulation geschützt sind.

Zugriffskontrollen bestimmen, ob der Zugriff auf eine bestimmte Ressource gewährt oder verweigert werden soll. Ermöglicht den Zugriff auf Ressourcen nur für die Benutzer, die berechtigt sind, sie zu verwenden.