El documento describe principios para proteger el hardware y áreas de información contra acceso físico no autorizado. Se recomienda ubicar los servicios de información en áreas seguras dentro de un perímetro definido con controles de entrada. Estas áreas deben protegerse físicamente contra acceso, daños e interferencias no autorizadas. También se debe proteger el hardware contra acceso físico no deseado, desastres naturales como terremotos e inundaciones, y alteraciones en el entorno como cambios de temperatura o humedad.