保护受控未分类信息 Rev 3

此要求涉及包含处理、存储或传输受控未分类信息（CUI）系统或系统组件的物理地点。组织需确定所需的护卫类型，包括专业保安人员或行政人员。物理访问设备包括钥匙、锁、组合锁、生物识别读卡器以及刷卡器。物理访问控制系统遵守适用的法律、行政命令、指令、政策、法规、标准和指南。组织在使用的审计日志类型上具有灵活性。审计日志可以是程序性的、自动化的，或两者的组合。物理访问点可以包括外部访问点、需要补充访问控制的内部系统访问点，或两者兼有。物理访问控制适用于员工和访客。拥有长期物理访问权限的个人不被视为访客。控制对输出设备的物理访问包括将输出设备放置在带锁的房间或其他安全区域，这些区域配有键盘或刷卡访问控制，并且仅允许授权人员访问；将输出设备放置在可以被人员监控的位置；安装显示器或屏幕过滤器；以及使用耳机。输出设备的例子包括显示器、打印机、扫描仪、传真机、音频设备和复印机。