Una lista de control de acceso (ACL) es un archivo adjunto a un archivo, directorio u otro objeto que proporciona información sobre los permisos asociados con el objeto. Si no hay una lista de control de acceso, cualquiera puede interactuar con el objeto y hacer cualquier cosa con él. Sin embargo, si hay una lista presente, el acceso y las actividades se limitan a las personas en la lista y las capacidades de los usuarios individuales pueden estar restringidas a diferentes niveles.

La lista puede especificar usuarios, roles o grupos. Los usuarios son usuarios individuales que están registrados en el sistema, como una red de oficina. Los roles son títulos asignados a personas. Por ejemplo, un usuario podría tener el rol de "Administrador del sistema". Cuando una lista de control de acceso restringe el acceso a ciertos roles, solo las personas en esos roles podrán manipular el objeto. Los grupos son colecciones de usuarios que están registrados juntos, como "Pool Secretarial".

Las listas de control de acceso pueden determinar quién tiene permiso para ver, editar, eliminar o mover un objeto. Esto puede ser útil a nivel de seguridad y también puede evitar errores. Por ejemplo, los administradores del sistema pueden limitar el acceso a los archivos clave del sistema para que las personas sin experiencia no alteren, eliminen o muevan accidentalmente esos archivos y causen un problema. Del mismo modo, un archivo podría hacerse de solo lectura, excepto para un usuario para garantizar que si otras personas en la red acceden al archivo, no pueden realizar cambios en él.

El uso de una lista de control de acceso para la seguridad es parte de la seguridad basada en la capacidad, en la que se proporcionan capas de seguridad mediante el uso de tokens que proporcionan los usuarios del sistema. Un token proporciona información sobre la autoridad de un usuario y se compara con los permisos que determinan si el usuario está autorizado o no para realizar una opción determinada. Este método de seguridad permite la seguridad a un nivel altamente flexible ya que los archivos y directorios individuales pueden tener diferentes permisos.

La lista de control de acceso es tan buena como la seguridad de las identidades individuales en una red. Si las personas no usan contraseñas o usan contraseñas débiles, es posible secuestrar sus identidades y usarlas en el sistema. Si se penetra un sistema con un registrador de pulsaciones de teclas o malware similar, también puede verse comprometido y hacer posible que una persona no autorizada ingrese al sistema. Es por eso que la seguridad está organizada en capas, de modo que una debilidad en un área no derribará todo el sistema.