não há necessidade, para o controle de acesso, de se ter conhecimento a respeito dos princípios e níveis de segurança e classificação da informação na organização.

o gerenciamento de acessos físicos deve compreender o registro de usuários, gerenciamento de privilégios, gerenciamento das senhas de usuários e revisão dos direitos de acesso dos usuários – preocupações que não se aplicam aos acessos lógicos.

fazem parte do controle de acesso ao sistema operacional, preocupações tais como restrição de acesso a aplicações e isolamento de sistemas sensíveis.

na especificação das regras para controle de acesso, não se deve utilizar a premissa: "tudo deve ser permitido, a menos que expressamente proibido".

o controle, na auditoria, consiste em fiscalizar as atividades, com relação às normas pré-estabelecidas. Com isso, a identificação e autenticação de usuários formam um exemplo de controle de detecção.