存取控制（Access control）代表根據特定的規則、限制特定的使用者只能存取特定的系統、服務、功能、資訊等資產，達成接受經授權使用者存取、拒絕未經授權使用者存取的目的。

• 主體（Subjects）：要求存取資產的任何實體，包括使用者（user）、客戶端軟體（client）、程式（program）、處理程序（process）。主體為主動提出要求的實體，因此也被稱為主動主體。
  主體包含了以下特性：
• 可能是使用者、處理程序、客戶端（或伺服器）、程式、設備（如終端機、工作站、智慧型手機、含有韌體的行動儲存裝置）。
• 是主動對資源提出存取要求的一方。
• 要求對方提供服務。
• 應該具有要求提供服務、資源的存取權限。

評估控制措施

控制措施必須保持有效，才能降低風險，因此需確認目前的控制措施符合需求，並因應內外部情況變化進行重新評估與調整。

縱深防禦

縱深防禦是一種防護策略，透過在組織的多個層面建立可靈活調整的阻擋屏障，以分層的方式應對多種攻擊提供對策。
縱深防禦的目標為預防或組織攻擊行為對組織造成影響，但並不能保證不會發生攻擊行為。
以下為常見的縱深防禦範例：

• 兩階段驗證：利用兩種不同因子，對登入者進行身分驗證，因為密碼與 OTP 的組合安全性一定比只有密碼的安全性高。
• 網段隔離：利用防火牆將具有不同安全要求的網段進行隔離，除了將外部網路與內部網路區格外，內部網路也應依照不同的機密程度，以防火牆將不同安全要求的網段隔離。因此網路流量可能通過多個防火牆的規則控制，並且將機密性程度最高的設備集中於一個（或某幾個）網段，前方有多個防火強進行阻擋。
• 機房：最外層具有門禁系統，提供了物理性的安全控制措施，而系統設定無法透過遠端存取機房設備為中層，最後透過政策或管理控制，規定了具有實體存取權限人員應符合什麼規則。

最小權限

為了保護資訊的機密性，應該只允許使用者或程式能正常執行業務職責的最低權限，使用者只能存取與其工作相關的特定系統或服務。
透過最小權限管理，可以確保只有必要的使用者或程式能存取必要的系統、服務或資訊，表示每個使用者都不能存取與工作無關的資源。
例如在醫院，應該只有醫護人員與病歷管理員可以存取病人的病歷資料，批價櫃臺的工作人員不應該具有病歷系統的存取權限。

但在部分情況下，有必要讓使用者取得臨時性或有限制的權限存取資源，可以透過開放權限時間或僅可存取該系統的部份資料來管控。
系統通常會監控並記錄對機密資料的存取動作，如果在 log 中發現有人試圖存取未經授權的資訊，將會觸發警報並提醒相關人員注意。

若一個使用者具有越多的權限，則應提高該使用者的安全控制措施，例如強制使用多因子驗證等。