o nível de proteção à informação é avaliado analisando-se exclusivamente a confidencialidade, a integridade e a disponibilidade da informação.

a data da entrada e saída de visitantes deve ser registrada, e todos os visitantes devem ser supervisionados, mesmo que o seu acesso tenha sido previamente aprovado; convém que as permissões de acesso sejam concedidas para todas as finalidades, e sejam emitidas somente com instruções sobre procedimentos de emergência.

é conveniente que seja exigido de todos os funcionários, fornecedores e terceiros, e de todos os visitantes, alguma forma visível de identificação; além disso, eles devem avisar imediatamente o pessoal de segurança caso encontrem visitantes não acompanhados ou qualquer pessoa que não esteja usando uma identificação visível.

os objetivos de controle e os controles dessa Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações.