A categoria de controle de acesso audita o processo de proteção de recursos contra acesso não autorizado por meio de solicitações de concessão e negação com base em um modelo de permissão. Isso inclui garantir que uma entidade que acesse um recurso tenha credenciais válidas para isso, criando e protegendo um conjunto bem definido de funções ou permissões e garantindo que os controles de função ou permissão sejam protegidos contra reprodução e adulteração.

Os controles de acesso determinam se o acesso a um recurso específico deve ser concedido ou negado. Eles só permitem o acesso aos recursos aos usuários com permissão para usá-los.