Cilj: Kontrolirati pristup informacijama. Pristup informacijama, sredstvima za obradu informacija i poslovnim procesima se treba kontrolirati na osnovu poslovnih i sigurnosnih zahtjeva. Pravila kontrole pristupa trebaju uzeti u obzir politike autorizacije i pružanja informacija.
Kontrola Potrebno je utemeljiti, dokumentirati i pregledavati politiku kontrole pristupa na osnovu poslovnih i sigurnosnih zahtjeva za pristupom. Implementacijske smjernice Pravila kontrole pristupa trebaju biti jasno definirana za svakog korisnika ili grupu korisnika u politici kontrole pristupa. Kontrole pristupa su logičke, ali i fizičke, te se zajedno trebaju i razmatrati. Politika treba uzeti u obzir sljedeće: a) sigurnosne zahtjeve pojedinih poslovnih aplikacija; b) identifikaciju svih informacija povezanih s poslovnim aplikacijama i rizik koji se odnosi na te informacije; c) politiku širenja informacija i autorizacije; d) konzistentnost između kontrole pristupa informacijama i klasifikacije informacija različitih sustava i mreža; e) relevantne propise i ugovorne obveze koji se tiču zaštite pristupa podacima i uslugama; f) standardne korisničke pristupne profile za poslovne uloge unutar organizacije; g) upravljanje pravima pristupa u distribuiranim i mrežnim okruženjima koji prepoznaju sve tipove raspoloživih veza; h) odvajanje uloga kontrole pristupa, npr. zahtjev za pristupom, autorizacija zahtjeva, administracija zahtjeva; i) zahtjeve za formalnom autorizacijom pristupa; j) periodičko pregledavanje listi kontrole pristupa; k) uklanjanje pristupnih prava.