NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

当实施自主访问控制策略时，主体在对其已被授予访问权限的信息采取何种操作方面没有限制。因此，已被授予信息访问权限的主体不会被阻止将信息传递给其他主体或对象（即，主体可以自由决定是否传递）。自主访问控制可以与强制访问控制一起运行，如 AC-3(3) 和 AC-3(15) 所述。受强制访问控制策略限制的主体仍然可以在自主访问控制较宽松的约束下进行操作。因此，虽然 AC-3(3) 对主体施加了约束，防止其将信息传递给在不同影响或分类级别上操作的另一个主体，但 AC-3(4) 允许主体将信息传递给同一影响或分类级别的任何主体。该策略受系统限制。一旦信息传出系统控制之外，可能需要额外的手段来确保约束继续有效。虽然传统的自主访问控制定义要求基于身份的访问控制，但对于本次自主访问控制的特定使用，并不要求这一限制。