セキュリティ・コントロールは、組織の情報資産を保護するために実施される技術的、管理的、物理的な対策を指します。これには、アクセス制御、暗号化、ファイアウォール、セキュリティポリシーの策定などが含まれます。セキュリティ・コントロールは、リスク評価に基づいて導入され、特定の脅威から情報システムを守るための具体的な手段を提供します。これらのコントロールは、予防的、検知的、抑止的、修復的などの機能を持ち、情報セキュリティを総合的に強化するための重要な要素です。組織は、セキュリティ・コントロールの有効性を定期的に評価し、必要に応じて見直しを行うことが求められます。