A. Convém que as permissões de acesso para visitantes sejam concedidas de forma ampla e irrestrita, ao invés de apenas para finalidades específicas. Esse procedimento auxilia no teste contínuo dos sistemas de segurança da instituição.
11.1.2 Controles de entrada física
a) convém que a data e hora da entrada e saída de visitantes sejam registradas, e todos os visitantes sejam supervisionados, a não ser que o seu acesso tenha sido previamente aprovado; as permissões de acesso só sejam concedidas para finalidades específicas e autorizadas, e sejam emitidas com instruções sobre os requisitos de segurança da área e os procedimentos de emergência. A identidade dos visitantes seja autenticada por meios apropriados;
.
B. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser controlado, com a utilização de controles de autenticação. No entanto, face ao pequeno número de acessos nessas áreas, não se faz necessário registrar os acessos realizados.
11.1.2 Controles de entrada física
b) convém que o acesso às áreas em que são processadas ou armazenadas informações sensíveis seja restrito apenas ao pessoal autorizado pela implementação de controles de acesso apropriados, por exemplo, mecanismos de autenticação de dois fatores, como, cartões de controle de acesso e PIN (personal identification number);
.
C. Todas as pessoas devem se identificar ao entrar na instituição. Assim, é dispensado o uso de formas visíveis de identificação durante a permanência nos locais físicos.
11.1.2 Controles de entrada física
d) convém que seja exigido que todos os funcionários, fornecedores e partes externas, e todos os visitantes, tenham alguma forma visível de identificação, e que eles avisem imediatamente ao pessoal de segurança, caso encontrem visitantes não acompanhados ou qualquer pessoa que não esteja usando uma identificação visível;
.
D. Aos terceiros que realizam serviços de suporte deve ser concedido acesso irrestrito às áreas seguras ou às instalações de processamento da informação sensível, uma vez que essas pessoas têm o dever contratual de zelar pelas informações da instituição.
11.1.2 Controles de entrada física
e) Às partes externas que realizam serviços de suporte, convém que seja concedido acesso restrito às áreas seguras ou as instalações de processamento da informação sensíveis, somente quando necessário; este acesso seja autorizado e monitorado;
.
E. Os direitos de acesso a áreas seguras devem ser revistos e atualizados em intervalos regulares, além de revogados quando necessário.
11.1.2 Controles de entrada física
f) convém que os direitos de acesso a áreas seguras sejam revistos e atualizados em intervalos regulares, e revogados quando necessário (ver 9.2.4 e 9.2.5).
Fonte: ABNT NBR ISO/IEC 27002:2013