Das Vier-Augen-Prinzip verlangt, dass kritische Aktionen von mindestens zwei Personen unabhängig geprüft oder genehmigt werden. Typische Einsatzgebiete sind Freigaben von Überweisungen, Änderungen an Produktivsystemen und die Vergabe privilegierter Zugriffsrechte. Im ISMS ist das Vier-Augen-Prinzip eine organisatorische Kontrolle, die das Risiko von Fehlern und Missbrauch durch Einzelpersonen reduziert. Es ergänzt das Prinzip der Funktionstrennung (Segregation of Duties). Die Umsetzung kann technisch (z. B. Genehmigungsworkflows) oder prozessual erfolgen.