Eine Zugriffskontrollmatrix ist eine tabellarische Darstellung, die Benutzerrollen den Systemen und Anwendungen gegenüberstellt und die jeweiligen Zugriffsebenen definiert (z. B. Lesen, Schreiben, Admin). Im ISMS dient sie als verbindliches Dokument für die Berechtigungsvergabe. Sie erleichtert die Überprüfung, ob das Least-Privilege-Prinzip eingehalten wird, und zeigt auf einen Blick, welche Rolle auf welche Ressourcen zugreifen darf. Bei Audits ist die Zugriffskontrollmatrix ein häufig angefordertes Nachweisdokument.