Identity and Access Management (IAM) is het uitgebreide raamwerk van beleid, processen en technologieën dat wordt gebruikt om digitale identiteiten te beheren en toegang tot de bronnen van een organisatie te controleren. IAM omvat het aanmaken en verwijderen van gebruikersaccounts, authenticatie (verifiëren wie iemand is), autorisatie (bepalen waartoe iemand toegang heeft), rolgebaseerde toegangscontrole (RBAC), privileged access management en regelmatige toegangsreviews om het principe van minimale rechten te waarborgen.
IAM is een van de meest kritieke controledomeinen in vrijwel elk compliance-framework, waaronder ISO 27001 (Bijlage A.9), SOC 2, AVG en NIS2, omdat onjuiste toegangscontroles een van de belangrijkste oorzaken van datalekken zijn. Een goed geïmplementeerd IAM-programma zorgt ervoor dat alleen geautoriseerde personen toegang hebben tot gevoelige systemen en gegevens, biedt een volledige audit trail van toegangsgebeurtenissen en maakt snelle intrekking van toegang mogelijk wanneer medewerkers de organisatie verlaten of van rol veranderen.