Er behoren beveiligingszones te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie bevatten.

Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiligingsmaatregelen.

Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en toegepast.

Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.

Voor het werken in beveiligde ruimten behoren procedures te worden ontworpen en toegepast.

Toegangspunten zoals laad- en loslocaties behoren te worden beheerst en zo mogelijk te worden afgeschermd.

Apparatuur behoort zo te worden geplaatst en beschermd dat risicos van bedreigingen worden verkleind.

Apparatuur behoort te worden beschermd tegen stroomuitval en andere onderbrekingen.

Voedings- en telecommunicatiekabels behoren te worden beschermd tegen interceptie, verstoring of schade.

Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen.

Apparatuur, informatie en software behoren niet zonder voorafgaande toestemming van het terrein te worden meegenomen.

Apparatuur buiten het terrein behoort te worden beveiligd.

Alle onderdelen van apparatuur die opslagmedia bevatten behoren te worden geverifieerd alvorens te worden verwijderd of opnieuw gebruikt.

Gebruikers behoren ervoor te zorgen dat onbeheerde apparatuur adequaat is beschermd.

Er behoort een clear desk-beleid voor papier en verwijderbare opslagmedia en een clear screen-beleid te worden ingevoerd.