Cilj: Spriječiti neautoriziran pristup informacijama koje se nalaze u aplikacijskim sustavima. Logički pristup aplikacijskom softveru i informacijama treba ograničiti samo na autorizirano osoblje. Aplikacijski sustavi trebaju: a) kontrolirati pristup informacijama i funkcijama aplikacijskog sustava u skladu s definiranom politikom kontrole pristupa; b) pružiti zaštitu od neautoriziranog pristupa uslužnih programa, programa operativnog sustava i zloćudnih programa koji su sposobni zaobići ili mijenjati sustavske ili aplikacijske kontrole; c) ne kompromitirati druge sustave s kojima dijele informacijske resurse.
Kontrola Pristup informacijama i funkcijama aplikacijskog sustava treba biti ograničen u skladu s definiranom politikom kontrole pristupa. Implementacijske smjernice Ograničavanje pristupa ovsi o pojedninačnim zahtjevima svake pojedine poslovne aplikacije. Potrebno je razmotriti sljedeće smjernice: a) pružiti izbornike za kontroliranje pristupa funkcijama aplikacijskog sustava; b) kontroliranje prava pristupa korisnika (čitanje, pisanje, izvođenje); c) kontroliranje prava pristupa drugih aplikacija; d) osigurati da se izlaz aplikacijskog sustava koji sadrži osjetljive informacije šalje na autorizirane terminale i lokacije.
Kontrola Osjetljivi sustavi trebaju biti smješteni u izoliranom računalnom okruženju. Implementacijske smjernice Potrebno je razmotriti sljedeće smjernice: a) vlasnik aplikacije treba eksplicitno identificirati i dokumentirati osjetljivost aplikacijskog sustava; b) kad se aplikacija nalazi u djeljenom okruženju, potrebno je jasno identificirati aplikacijske sustave s kojima se dijele resursi, a vlasnik aplikacije to mora prihvatiti. Dodatne informacije Osjetljivost informacijskog sustava ukazuje da: a) se aplikacijski sustav treba pokretati u izoliranom okruženju; b) treba dijeliti resurse samo s povjerljivim informacijskim sustavima. Izolacija se može postići upotrebom fizičkih ili logičkih metoda.