Alternativas
os edifícios devem ser discretos para não dar a menor indicação possível da sua finalidade, sem letreiros evidentes, fora ou dentro do edifício, que identifiquem a presença de atividades de processamento de informações, quando for aplicável.
as listas de funcionários e guias telefônicos internos que identifiquem a localização das instalações que processam informações sensíveis devem ficar facilmente acessíveis ao público.
devem ser considerados controles de autenticação, por exemplo, cartão de controle de acesso, para autorizar e validar todos os acessos. Regulamentos e normas de saúde e segurança não são aplicáveis e não precisam ser levados em conta.
as instalações-chave devem ser localizadas de maneira a permitir o acesso do público, pois são os principais interessados e beneficiários dos dados que são processados.
os equipamentos para contingência devem ser mantidos no interior dos locais onde os dados são processados para agilizar a restauração e recuperação dos dados em caso de desastre.