Cilj : Spriječiti neautorizirano otkrivanje, modifikaciju, brisanje ili uništavanje imovine i prekidanje poslovnih aktivnosti. Mediji se trebaju kontrolirati i fizički zaštititi. Potrebno je utemeljiti prikladne procedure za zaštitu dokumenata, računalnih medija, ulaznih/izlaznih podataka i sustavske dokumentacije od otkrivanja, modifikacije, brisanja ili uništenja.
Kontrola Potrebno je utemeljiti procedure za upravljanje uklonjivim medijima. Implementacijske smjernice Potrebno je razmotriti sljedeće smjernice: a) ako više nije potreban, onda se sadržaj medija treba izbrisati prije uklanjanja iz organizacije; b) gdje je to potrebno, traži se autorizacija za uklanjanje medija iz organizacije i vode se zapisi o tome; c) svi mediji trebaju biti pohranjeni na sigurnom mjestu i u skladu sa specifikacijama proizvođača; d) informacije spremljene na mediju koje trebaju biti raspoložive dulje o vijeka trajanja medija, moraju biti spremljene drugdje da bi se spriječio gubitak podataka uzrokovan degradacijom medija; e) potrebno je evidentirati uklonjive medije da bi se smanjio rizik od gubitka podataka; f) pogoni uklonjivih medija trebaju biti aktivirani samo ako za to postoji poslovni razlog.
Kontrola Mediji se prema formalnim procedurama trebaju sigurno odložiti kad više nisu potrebni. Implementacijske smjernice Formalne procedure trebaju minimizirati rizik od curenja informacija neautoriziranom osoblju pri odlaganju medija. Te procedure trebaju odgovarati osjetljivosti informacija. Pri odlaganju medija razmatraju se sljedeće smjernice: a) mediji koji sadrže osjetljive informacije trebaju biti pohranjeni i odloženi na siguran način; b) potrebno je utemeljiti procedure za medije koje je potrebno sigurno odložiti; c) ponekad je lakše sigurno odlagati sve medije nego ih razdvajati i sigurno odlagati samo one koji sadrže osjetljive informacije; d) potrebno je pažljivo odabrati organizaciju koja se brine o odlaganju papira, opreme i medija; e) potrebno je evidentirati odlaganje medija koji sadrže osjetljive informacije.
Kontrola Potrebno je utemeljiti procedure za rukovanje i spremanje informacija kako bi se onemogućilo njihovo neovlašteno razotkrivanje ili zlouporaba. Implementacijske smjernice Potrebno je voditi brigu o sljedećim čimbenicima: a) označavanje svih medija njihovom klasifikacijskom razinom i rukovanje u skladu s tim; b) ograničavanje pristupa kako bi se onemogućio pristup neovlaštenim osobama; c) održavanje službenih zapisa o autoriziranim primateljima podataka; d) osiguravanje kompletnosti ulaznih podataka, ispravnog procesiranja i validacija izlaznih podataka; e) zaštita podataka koji čekaju izlaz na razinu konzistentnu s njihovom osjetljivošću; f) pohrana medija u skladu s preporukama proizvođača; g) održavanje distribucije podataka na minimalnoj razini; h) označavanje svih kopija podataka čime postaju briga autoriziranog korisnika; i) pregledavanje distribucijskih listi i listi autoriziranih primatelja u redovitim intervalima.
Kontrola Sustavska dokumentacija treba biti zaštićena od neovlaštenog pristupa. Implementacijske smjernice Da bi se osigurala sustavska dokumenatcija, potrebno je razmotriti sljedeće: a) sustavska dokumentacija se treba sigurno pohraniti; b) liste pristupa sustavskoj dokumentaciji trebaju biti minimalne i treba ih odobriti vlasnik aplikacije; c) sustavska dokumentacija koja se nalazi na javnoj mreži treba biti prikladno zaštićena. Dodatne informacije Sustavska dokumentacija može sadržavati osjetljive informacije, poput opisa aplikacijskih procesa, procedura, podatkovnih struktura i autorizacijskih procesa.