O controle de acesso, na segurança da informação, é composto dos processos de autenticação, autorização e auditoria (accounting). Neste contexto o controle de acesso pode ser entendido como a habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivíduo ou um processo). A autenticação identifica quem acessa o sistema, a autorização determina o que um usuário autenticado pode fazer, e a auditoria diz o que o usuário fez.
A identificação e autenticação fazem parte de um processo de dois passos que determina quem pode acessar determinado sistema. Durante a identificação o usuário diz ao sistema quem ele é (normalmente através de um nome de usuário). Durante a autenticação a identidade é verificada através de uma credencial (uma senha, por exemplo) fornecida pelo usuário. Atualmente, com a popularização tecnológica, reconhecimento por impressão digital, smartcard, MiFare ou RFID estão substituindo, por exemplo, o método de credencial (nome e senha). Dispositivos com sensores que fazem a leitura, a verificação e a identificação de características físicas únicas de um indivíduo aplicam a biometria e fazem agora a maior parte dos reconhecimentos. A identificação biométrica por impressão digital é a mais conhecida e utilizada atualmente.
A autorização define quais direitos e permissões tem o usuário do sistema. Após o usuário ser autenticado o processo de autorização determina o que ele pode fazer no sistema.