Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.

Organisaation on määriteltävä tarvittava suojaustaso kullekin hallinnoimalleen verkkoyhteydelle. Nämä toimenpiteet on dokumentoitava. Ainakin seuraavat olisi määriteltävä:

• Fyysisen suojauksen taso, joka yhteyden on täytettävä.
• Toimenpiteet, joihin on ryhdyttävä, jos fyysinen yhteys vahingoittuu tai sitä manipuloidaan.

Organisaation on varmistettava, että yhteydet on suojattu fyysisesti niiden kriittisyyden ja vaatimusten mukaisesti.

The organization should establish and document a process for regularly analyzing the vulnerabilities of its critical infrastructure.

Key steps for conducting comprehensive vulnerability analysis and impact assessment include the following:

• Defining and document all essential hardware, software, networks, and data that support core operations.
• Creating a range of realistic scenarios, including technical failures (e.g., hardware malfunction, software bugs), malicious attacks (e.g., cyberattacks, insider threats), and natural disasters (e.g., floods, earthquakes).
• Analysing specific weaknesses in the critical infrastructure that could be exploited or impacted for each identified scenario.
• Quantifying the potential consequences of each scenario, considering downtime, data loss, financial costs, regulatory penalties, and damage to reputation.
• Compiling a comprehensive report detailing vulnerabilities, potential impacts and recommended mitigation strategies and controls.

Pääsyä kriittisiä järjestelmiä sisältäviin rakennuksiin tulee valvoa jatkuvasti luvattoman pääsyn tai epäilyttävän toiminnan havaitsemiseksi. Valvontakäytännöissä tulisi huomioida seuraavat asiat:

• tunkeutumishälytyksen aiheuttavat kosketus-, ääni- tai liiketunnistimet
• ulko-ovien ja ikkunoiden peitto tunnistimia käyttämällä
• henkilöstöttömien sekä muuten tärkeiden (mm. palvelin- tai viestintäteknologia) tilojen valvonta 
• hälytysjärjestelmien säännöllinen testaus

Valvontajärjestelmiin liittyvien tietojen tulee olla luottamuksellisia, koska tietojen paljastaminen voi helpottaa havaitsemattomia murtoja. Valvontajärjestelmät itsessään tulee myös suojata asiallisesti, jottei tallenteisiin tai järjestelmän tilaan pääse vaikuttamaan luvatta.

Organisaation on sallittava ainoastaan ennalta hyväksytyn henkilöstön pääsy turva-alueille.

Kaikkien sisään- ja ulosmenopisteiden on oltava oletuksellisesti estettyjä, dokumentoituja sekä valvottuja pääsynhallintajärjestelmien toimesta.

Kaikesta kulusta turva-alueille on kerryttävä lokia ja organisaation on määriteltävä, kuinka pitkään lokeja säilytetään.

Organisaation on lueteltava kaikki asiaankuuluvat suojatut omaisuuserät omistusoikeuden määrittämiseksi ja sen varmistamiseksi, että turvatoimenpiteet kattavat kaikki tarvittavat kohteet.

Suuri osa suojatusta omaisuudesta (mukaan lukien tietojoukot, tietojärjestelmät, henkilöstö/yksiköt ja kumppanit) käsitellään muiden tehtävien kautta. Lisäksi organisaation on lueteltava muut tärkeät omaisuuserät, joita voivat olla toiminnan luonteesta riippuen esimerkiksi laitteisto (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuri (kiinteistöt, sähköntuotanto, ilmastointi). Lisäksi organisaation on varmistettava, että asiaankuuluvat ulkoiset laitteet dokumentoidaan.

Turvallisuushenkilöstö käyttää kameravalvontaa luvattoman pääsyn, sabotaasin tai muiten hälytysten todentamiseksi organisaation toimitiloissa.