Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.

Fyysisen turvallisuuden menettelyt on kehitetty ja otettu käyttöön, ja henkilökunta on koulutettu niihin. Menettelyjä tarkistetaan säännöllisesti sen varmistamiseksi, että ohjeet ja ohjeistukset ovat ajan tasalla ja riittävän kattavat.

Organisaation olisi toteutettava fyysisiä turvatoimia, joiden tarkoituksena on viivyttää ja estää luvaton fyysinen tunkeutuminen sen tiloihin. Näihin kuuluvat vankka rakennusrakenne, turvalliset ovet, ikkunat, lukot ja muut fyysiset esteet. Sähköisiä valvontajärjestelmiä olisi käytettävä fyysisen tunkeutumisen, sabotaasin, murtojen tai varkauksien havaitsemiseksi.

Fyysiset turvatoimet on tarkastettava ja testattava säännöllisesti sen varmistamiseksi, että ne on toteutettu, että ne ovat ehjiä ja että ne toimivat tarkoitetulla tavalla.

Organisaation tulee ottaa huomioon ympäristöuhat ja -vaarat ja suojauduttava niiltä tilojen tärkeyden mukaisilla valvontatoimilla.

Organisaation on sallittava ainoastaan ennalta hyväksytyn henkilöstön pääsy turva-alueille.

Kaikkien sisään- ja ulosmenopisteiden on oltava oletuksellisesti estettyjä, dokumentoituja sekä valvottuja pääsynhallintajärjestelmien toimesta.

Kaikesta kulusta turva-alueille on kerryttävä lokia ja organisaation on määriteltävä, kuinka pitkään lokeja säilytetään.

Päätelaitteiden tietoturvanhallintajärjestelmän avulla voidaan vaatia päätelaitteilta haluttuja kriteerejä, ennen kuin niille sallitaan yhteys verkon resursseihin. Päätelaitteet voivat olla kannettavia tietokoneita, älypuhelimia, tabletteja tai alakohtaista erikoislaitteistoa.

Kriteerejä verkkoresurssien käytölle voivat olla mm. hyväksytty käyttöjärjestelmä, VPN- ja antivirus-järjestelmät sekä näiden päivitysten ajantasaisuus.