Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.

Fyysisen turvallisuuden menettelyt on kehitetty ja otettu käyttöön, ja henkilökunta on koulutettu niihin. Menettelyjä tarkistetaan säännöllisesti sen varmistamiseksi, että ohjeet ja ohjeistukset ovat ajan tasalla ja riittävän kattavat.

The organisation should implement physical security measures designed to delay and hinder unauthorized physical intrusion into its facilities. This includes robust building construction, secure doors, windows, locks, and other physical barriers. Electronic monitoring systems should be deployed to detect attempts at physical intrusion, sabotage, burglary, or theft.

Physical security measures need to be regularly inspected and tested to ensure they are implemented, intact, and functioning as intended.

Organisaation tulee ottaa huomioon ympäristöuhat ja -vaarat ja suojauduttava niiltä tilojen tärkeyden mukaisilla valvontatoimilla.

Organisaation on sallittava ainoastaan ennalta hyväksytyn henkilöstön pääsy turva-alueille.

Kaikkien sisään- ja ulosmenopisteiden on oltava oletuksellisesti estettyjä, dokumentoituja sekä valvottuja pääsynhallintajärjestelmien toimesta.

Kaikesta kulusta turva-alueille on kerryttävä lokia ja organisaation on määriteltävä, kuinka pitkään lokeja säilytetään.

Päätelaitteiden tietoturvanhallintajärjestelmän avulla voidaan vaatia päätelaitteilta haluttuja kriteerejä, ennen kuin niille sallitaan yhteys verkon resursseihin. Päätelaitteet voivat olla kannettavia tietokoneita, älypuhelimia, tabletteja tai alakohtaista erikoislaitteistoa.

Kriteerejä verkkoresurssien käytölle voivat olla mm. hyväksytty käyttöjärjestelmä, VPN- ja antivirus-järjestelmät sekä näiden päivitysten ajantasaisuus.