La catégorie de contrôle d’accès audite le processus de protection des ressources contre tout accès non autorisé en accordant et en refusant des demandes basées sur un modèle d’autorisation. Cela inclut la garantie qu’une entité accédant à une ressource détient des informations d’identification valides pour ce faire, la création et la protection d’un ensemble bien défini de rôles ou d’autorisations et la garantie que les contrôles des rôles ou des autorisations sont protégés contre la relecture et l’altération.

Les contrôles d’accès déterminent si l’accès à une ressource particulière doit être accordé ou refusé. Il n’autorise l’accès aux ressources qu’aux utilisateurs autorisés à les utiliser.