Voor (kantoor)ruimtes heeft de organisatie fysieke beveiligingsmaatregelen vastgesteld en geïmplementeerd in overeenstemming met de bedrijfseisen, zodat de toegang tot informatiesystemen op passende wijze wordt beperkt en die er tevens voor zorgen dat risico's met betrekking tot diefstal, temperatuur, brand, rook, water, trillingen, terreur, vandalisme, stroomuitval, chemicaliën of explosieven effectief worden voorkomen, gedetecteerd en beperkt. Toegang tot locaties, gebouwen en gebieden wordt gemotiveerd, geautoriseerd, geregistreerd en gemonitord. Dit geldt voor alle personen die het terrein betreden, inclusief personeel, tijdelijk personeel, klanten, leveranciers, bezoekers of welke andere derde partij dan ook.