Need-to-know (Kenntnis nur bei Bedarf) und Need-to-use (Nutzung nur bei Bedarf) sind Zugriffsprinzipien, die den Zugang zu Informationen und Systemen auf Personen beschränken, die diese für ihre aktuelle Aufgabe tatsächlich benötigen. Selbst wenn jemand die passende Sicherheitsfreigabe besitzt, erhält er Zugang erst bei nachgewiesenem Bedarf. Diese Prinzipien ergänzen das Minimalprinzip und sind in ISO 27001 Annex A.5.10 verankert. In der Praxis setzt Du Need-to-know um, indem Du Berechtigungen auf Projektebene vergibst und regelmäßig prüfst, ob der Bedarf noch besteht.