کنترلها به منظور کاهش مخاطره و پتانسیل مفقود شدن اطلاعات سیستمها و یا شبکه‌ها پیاده‌سازی می‌شوند. کنترلها می‌توانند به سه صورت: ممانعت، تشخیص و تصحیح باشند. کنترلهای ممانعتی جهت جلوگیری از وقایع مضر بکار گرفته می‌شوند، کنترلهای تشخیصی برای کشف وقایع مضر ایجاد شده‌اند و کنترلهای تصحیحی برای بازیابی سیستمهائی که مورد حمله‌های مضر واقع شده‌اند، استفاده می‌شوند.

برای پیاده‌سازی این سنجه‌ها کنترلها می‌توانند به صورت: راهبری، منطقی یا فنی، و فیزیکی باشند.

شامل سیاستها و رویه‌ها، آموزش آگاهی امنیتی، رسیدگی موجودیت فردی جهت اهداف امنیتی، بررسی روش کار، بازبینی تاریخچه تعطیلات، و افزایش نظارت می‌شوند.

شامل محدودیتهای دسترسی به سیستمها و محافظت از اطلاعات می‌شوند. نمونه‌هایی از انواع این کنترلها عبارتند از رمزگذاری، کارتهای هوشمند، لیستهای کنترل دسترسی و پروتکلهای انتقال.

این کنترلها باعث یکی شدن محافظان با ساختمان امنیتی می‌شوند، به عنوان مثال قفل کردن درها، امن‌سازی اتاقهای سرور، محافظت از کابلها، جداسازی وظائف و پشتیبان گیری از فایلها را می‌توان ذکر کرد.

کنترلها پاسخگوئی اشخاصی را که به اطلاعات حساس دسترسی دارند را تامین می‌کند. این پاسخگوئی از طریق مکانیزمهای کنترل دسترسی تکمیل می‌گردد که نیازمند شناسائی و صدور مجوز و توابع ممیزی می‌باشد. این کنترلها باید با سیاستهای امنیتی سازمان مطابق باشند.

رویه‌های تضمین باعث می‌شوند که مکانیزمهای کنترلی، سیاست امنیتی را در کل چرخه حیات سیستمهای اطلاعاتی به درستی پیاده‌سازی نمایند.

در استاندارد ISO ۱۷۷۹۹ مجموعاً ۱۰ دامنه وجود دارد که هر کدام پیرامون بخشی از حوزه‌های امنیت تدوین شده‌اند. هر دامنه دارای چندین کنترل است. کنترل دسترسی ششمین آنهاست.

مبحث کنترل دسترسی (کنترل دسترسی) یکی از دامنه‌های مورد نظر در استاندارهای امنیت اطلاعات (از جمله ایزو ۱۷۷۹۹ و BS-۷۷۹۹) می‌باشد. واضح است که در بازرسی‌ها و ممیزی‌هایی که از یک سازمان به عمل می‌آید تا میزان امن بودن آن سازمان سنجیده شود (مثلا مطابق با استاندارد ممیزی ایزو ۲۷۰۰۱۱) این دامنه را نیز تحلیل خواهند کرد. اما جدای از این مورد، کنترل دسترسی تقریباً در تمام سازمانها از اهمیت ویژه‌ای بر خوردار است. در اغلب سازمانها وقتی در اجرای دامنه‌های ایزو ۱۷۷۹۹ بحث محدودیت مالی و منابع پیش آید و نیاز به رتبه بندی و اولویت سنجی دامنه‌ها باشد، دامنه کنترل دسترسی غالباً رتبه «ارحج ترین» را می‌گیرد.