Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 77 
sanitized, specific files stored on the media, sanitization methods used, date and time of 
the sanitization actions, personnel who performed the sanitization, verification actions 
taken, personnel who performed the verification, and disposal action taken. Agencies 
verify that the sanitization of the media was effective prior to disposal (see Section 
9.3.17.9, Information Handling and Retention (SI-12)). 
The agency must restrict the use of information system media (e.g., diskettes, 
magnetic tapes, external/removable hard drives, flash/thumb drives, CDs, DVDs) on 
information systems that receive, process, store, or transmit FTI using physical or 
automated controls. 
Additional requirements for protecting FTI during media sanitization are provided in 
Section 9.3.10.6, Media Sanitization (MP-6); Section 9.4.7, Media Sanitization; and 
Exhibit 10, Data Warehouse Security Requirements
9.3.11 Physical and Environmental Protection 
9.3.11.1 Physical and Environmental Protection Policy and Procedures (PE-1) 
The agency must: 
a. Develop, document, and disseminate to designated agency officials: 
1. A physical and environmental protection policy that addresses purpose, 
scope, roles, responsibilities, management commitment, coordination 
among agency entities, and compliance; and 
2. Procedures to facilitate the implementation of the physical and 
environmental protection policy and associated physical and 
environmental protection controls; and 
b. Review and update the current: 
1. Physical and environmental protection policy every three years; and 
2. Physical and environmental protection procedures at least annually. 
9.3.11.2 Physical Access Authorizations (PE-2) 
The agency must: 
a. Develop, approve, and maintain a list of individuals with authorized access to the 
facility where the information system resides; 
b. Issue authorization credentials for facility access; 
c. Review the access list detailing authorized facility access by individuals, at least 
annually; 
Break apart pdf pages - Split, seperate PDF into multiple files in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Explain How to Split PDF Document in Visual C#.NET Application
pdf link to specific page; break pdf into pages
Break apart pdf pages - VB.NET PDF File Split Library: Split, seperate PDF into multiple files in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
VB.NET PDF Document Splitter Control to Disassemble PDF Document
break pdf password online; break pdf documents
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 78 
d. Remove individuals from the facility access list when access is no longer 
required; and 
e. Enforce physical access authorizations to the information system in addition to 
the physical access controls for the facility at spaces where FTI is received, 
processed, stored, or transmitted. (CE1) 
9.3.11.3 Physical Access Control (PE-3) 
The agency must: 
a. Enforce physical access authorizations at entry/exit points to facilities where the 
information systems that receive, process, store, or transmit FTI reside by: 
1. Verifying individual access authorizations before granting access to the 
facility; and 
2. Controlling ingress/egress to the facility using physical access control 
systems/devices or guards. 
b. Maintain physical access audit logs for entry/exit points; 
c. Provide security safeguards to control access to areas within the facility officially 
designated as publicly accessible; 
d. Escort visitors and monitor visitor activity; 
e. Secure keys, combinations, and other physical access devices; 
f. Inventory physical access devices; and 
g. Change combinations and keys when an employee who knows the combination 
retires, terminates employment, or transfers to another position or at least 
annually. 
9.3.11.4 Access Control for Transmission Medium (PE-4) 
The agency must control physical access within agency facilities. 
9.3.11.5 Access Control for Output Devices (PE-5) 
The agency must control physical access to information system output devices to 
prevent unauthorized individuals from obtaining the output. 
Monitors, printers, copiers, scanners, fax machines, and audio devices are examples of 
information system output devices. 
9.3.11.6 Monitoring Physical Access (PE-6) 
The agency must: 
a. Monitor physical access to the facility where the information system resides to 
detect and respond to physical security incidents; 
b. Review physical access logs annually; 
C# PDF Page Insert Library: insert pages into PDF file in C#.net
Offer PDF page break inserting function. Apart from the ability to inserting a new PDF page into PDF page using C# .NET, how to reorganize PDF document pages
break a pdf into multiple files; acrobat separate pdf pages
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 79 
c. Coordinate results of reviews and investigations with the agency incident 
response capability; and 
d. Monitor physical intrusion alarms and surveillance equipment. (CE1) 
9.3.11.7 Visitor Access Records (PE-8) 
The agency must: 
a. Maintain visitor access records to the facility where the information system 
resides; and 
b. Review visitor access records, at least annually. 
Also see Section 4.3, Restricted Area Access, for visitor access (AAL) requirements. 
9.3.11.8 Delivery and Removal (PE-16) 
The agency must authorize, monitor, and control information system components 
entering and exiting the facility and maintain records of those items. 
9.3.11.9 Alternate Work Site (PE-17) 
The agency must: 
a. Employ Office of Safeguards requirements at alternate work sites; 
b. Assess, as feasible, the effectiveness of security controls at alternate work sites; 
and 
c. Provide a means for employees to communicate with information security 
personnel in case of security incidents or problems. 
Alternate work sites may include, for example, government facilities or 
private residences of employees (see Section 4.7, Telework Locations, for 
additional requirements). 
9.3.11.10 Location of Information System Components (PE-18) 
The agency must position information system components within the facility to minimize 
potential damage from physical and environmental hazards and to minimize the 
opportunity for unauthorized access. 
For additional guidance, see Section 4.3, Restricted Area Access, and Section 4.5, 
Physical Security of Computers, Electronic, and Removable Media
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 80 
9.3.12 Planning 
9.3.12.1 Security Planning Policy and Procedures (PL-1) 
The agency must: 
a. Develop, document, and disseminate to designated agency officials: 
1. A security planning policy that addresses purpose, scope, roles, 
responsibilities, management commitment, coordination among agency 
entities, and compliance; and 
2. Procedures to facilitate the implementation of the security planning policy 
and associated security planning controls; and 
b. Review and update the current: 
1. Security planning policy every three years; and 
2. Security planning procedures at least annually. 
9.3.12.2 System Security Plan (PL-2) 
An approved and accurate SSR satisfies the requirements for the SSP (see Section 7.0, 
Reporting Requirements—6103(p)(4)(E)). 
The agency must: 
a. Develop an SSR to include information systems that: 
1. Is consistent with the agency’s safeguarding requirements; 
2. Explicitly defines the information systems that receive, process, store, or 
transmit FTI; 
3. Describes the operational context of the information system in terms of 
missions and business processes; 
4. Describes the operational environment for the information system and 
relationships with or connections to other information systems; 
5. Provides an overview of the security requirements for the system; 
6. Identifies any relevant overlays, if applicable; 
7. Describes the security controls in place or planned for meeting those 
requirements, including a rationale for the tailoring and supplementation 
decisions; and 
8. Is reviewed and approved by the authorizing official or designated 
representative prior to plan implementation. 
b. Distribute copies of the SSR and communicate subsequent changes to the SSR 
to designated agency officials and the Office of Safeguards; 
c. Review the SSR for the information system on an annual basis; 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 81 
d. Update the SSR to address changes to the information system/environment of 
operation or problems identified during plan implementation or security control 
assessments; and 
e. Protect the SSR from unauthorized disclosure and modification. 
9.3.12.3 Rules of Behavior (PL-4) 
The agency must: 
a. Establish and make readily available to individuals requiring access to the 
information system, the rules that describe their responsibilities and expected 
behavior with regard to information and information system usage; 
b. Receive a signed acknowledgement from such individuals, indicating that they 
have read, understand, and agree to abide by the rules of behavior, before 
authorizing access to information and the information system; 
c. Review and update the rules of behavior; 
d. Require individuals who have signed a previous version of the rules of behavior 
to read and re-sign when the rules of behavior are revised/updated; and 
e. Include in the rules of behavior, explicit restrictions on the use of social 
media/networking sites and posting agency information on public websites—the 
Office of Safeguards prohibits sharing FTI using any social media/networking 
sites. (CE1) 
9.3.13 Personnel Security 
9.3.13.1 Personnel Security Policy and Procedures (PS-1) 
The agency must: 
a. Develop, document, and disseminate to designated agency officials: 
1. A personnel security policy that addresses purpose, scope, roles, 
responsibilities, management commitment, coordination among agency 
entities, and compliance; and 
2. Procedures to facilitate the implementation of the personnel security policy 
and associated personnel security controls; and 
b. Review and update the current: 
1. Personnel security policy every three years; and 
2. Personnel security procedures at least annually. 
9.3.13.2 Position Risk Designation (PS-2) 
The agency must: 
a. Assign a risk designation to all agency positions; 
b. Establish screening criteria for individuals filling those positions; and 
c. Review and update position risk designations annually. 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 82 
9.3.13.3 Personnel Screening (PS-3) 
The agency must: 
a. Screen individuals prior to authorizing access to the information system; and 
b. Rescreen individuals according to agency-defined conditions requiring 
rescreening. 
9.3.13.4 Termination (PS-4) 
The agency, upon termination of individual employment must: 
a. Disable information system access; 
b. Terminate/revoke any authenticators/credentials associated with the individual; 
c. Conduct exit interviews, as needed; 
d. Retrieve all security-related agency information system–related property; 
e. Retain access to agency information and information systems formerly controlled 
by the terminated individual; and 
f. Notify agency personnel upon termination of the employee. 
9.3.13.5 Personnel Transfer (PS-5) 
The agency must:  
a. Review and confirm ongoing operational need for current logical and physical 
access authorizations to information systems/facilities when individuals are 
reassigned or transferred to other positions within the agency; 
b. Initiate transfer or reassignment actions following the formal transfer action; 
c. Modify access authorizations as needed to correspond with any changes in 
operational need due to reassignment or transfer; and 
d. Notify designated agency personnel, as required. 
9.3.13.6 Access Agreements (PS-6) 
Before authorizing access to FTI, the agency must: 
a. Develop and document access agreements for agency information systems; 
b. Review and update the access agreements, at least annually; 
c. Ensure that individuals requiring access to agency information and information 
systems:  
1. Sign appropriate access agreements prior to being granted access; and 
2. Re-sign access agreements to maintain access to agency information 
systems when access agreements have been updated or at least 
annually. 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 83 
9.3.13.7 Third-Party Personnel Security (PS-7) 
The agency must: 
a. Establish personnel security requirements, including security roles and 
responsibilities for third-party providers; 
b. Require third-party providers to comply with personnel security policies and 
procedures established by the agency; 
c. Document personnel security requirements; 
d. Require third-party providers to notify the agency of any personnel transfers or 
terminations of third-party personnel who possess agency credentials or badges 
or who have information system privileges; and 
e. Monitor provider compliance. 
9.3.13.8 Personnel Sanctions (PS-8) 
The agency must: 
a. Employ a formal sanctions process for individuals failing to comply with 
established information security policies and procedures; and 
b. Notify designated agency personnel when a formal employee sanctions process 
is initiated, identifying the individual sanctioned and the reason for the sanction. 
9.3.14 Risk Assessment 
9.3.14.1 Risk Assessment Policy and Procedures (RA-1) 
The agency must: 
a. Develop, document, and disseminate to designated agency officials: 
1. A risk assessment policy that addresses purpose, scope, roles, 
responsibilities, management commitment, coordination among agency 
entities, and compliance; and 
2. Procedures to facilitate the implementation of the risk assessment policy 
and associated risk assessment controls; and 
b. Review and update the current: 
1. Risk assessment policy every three years; and 
2. Risk assessment procedures at least annually. 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 84 
9.3.14.2 Risk Assessment (RA-3) 
The agency must: 
a. Conduct an assessment of risk, including the likelihood and magnitude of harm, 
from the unauthorized access, use, disclosure, disruption, modification, or 
destruction of the information system and the information it processes, stores, or 
transmits; 
b. Document risk assessment results in a risk assessment report; 
c. Review risk assessment results at least annually; 
d. Disseminate risk assessment results to designated agency officials; and 
e. Update the risk assessment report at least every three years or whenever there 
are significant changes to the information system or environment of operation 
(including the identification of new threats and vulnerabilities) or other conditions 
that may impact the security state of the system. 
9.3.14.3 Vulnerability Scanning (RA-5) 
The agency must: 
a. Scan for vulnerabilities in the information system and hosted applications at a 
minimum of monthly for all systems and when new vulnerabilities potentially 
affecting the system/applications are identified and reported; 
b. Employ vulnerability scanning tools and techniques that facilitate interoperability 
among tools and automate parts of the vulnerability management process by 
using standards for: 
1. Enumerating platforms, software flaws, and improper configurations; 
2. Formatting checklists and test procedures; and 
3. Measuring vulnerability impact.  
c. Analyze vulnerability scan reports and results from security control assessments; 
d. Remediate legitimate vulnerabilities in accordance with an assessment of risk;  
e. Share information obtained from the vulnerability scanning process and security 
control assessments with designated agency officials to help eliminate similar 
vulnerabilities in other information systems (i.e., systemic weaknesses or 
deficiencies); and 
f. Employ vulnerability scanning tools that include the capability to readily update 
the information system vulnerabilities to be scanned. (CE1) 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 85 
9.3.15 System and Services Acquisition 
9.3.15.1 System and Services Acquisition Policy and Procedures (SA-1) 
The agency must: 
a. Develop, document, and disseminate to designated agency officials: 
1. A system and services acquisition policy that addresses purpose, scope, 
roles, responsibilities, management commitment, coordination among 
agency entities, and compliance; and 
2. Procedures to facilitate the implementation of the system and services 
acquisition policy and associated system and services acquisition controls; 
and 
b. Review and update the current: 
1. System and services acquisition policy every three years; and 
2. System and services acquisition procedures at least annually. 
9.3.15.2 Allocation of Resources (SA-2) 
The agency must: 
a. Determine information security requirements for the information system or 
information system service in mission/business process planning; 
b. Determine, document, and allocate the resources required to protect the 
information system or information system service as part of its capital planning 
and investment control process; and 
c. Establish a discrete line item for information security in agency programming and 
budgeting documentation. 
9.3.15.3 System Development Life Cycle (SA-3) 
The agency must: 
a. Manage the information system using an SDLC that incorporates information 
security considerations; 
b. Define and document information security roles and responsibilities throughout 
the SDLC; 
c. Identify individuals having information security roles and responsibilities; and 
d. Integrate the agency information security risk management process into SDLC 
activities. 
9.3.15.4 Acquisition Process (SA-4) 
The agency must include the following requirements, descriptions, and criteria, explicitly 
or by reference, in the acquisition contract for the information system, system 
component, or information system service in accordance with applicable federal laws, 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 86 
Executive Orders, directives, policies, regulations, standards, guidelines, and agency 
mission/business needs: 
a. Security functional requirements; 
b. Security strength requirements; 
c. Security assurance requirements; 
d. Security-related documentation requirements; 
e. Requirements for protecting security-related documentation; 
f. Description of the information system development environment and environment 
in which the system is intended to operate; and 
g. Acceptance criteria. 
When applicable, the agency must require the developer of the information system, 
system component, or information system service to provide a description of the 
functional properties of the security controls to be employed. (CE1) 
9.3.15.5 Information System Documentation (SA-5) 
The agency must: 
a. Obtain administrator documentation for the information system, system 
component, or information system service that describes: 
1. Secure configuration, installation, and operation of the system, 
component, or service;  
2. Effective use and maintenance of security functions/mechanisms; and 
3. Known vulnerabilities regarding configuration and use of administrative 
(i.e., privileged) functions. 
b. Obtain user documentation for the information system, system component, or 
information system service that describes: 
1. User-accessible security functions/mechanisms and how to effectively use 
those security functions/mechanisms; 
2. Methods for user interaction, which enable individuals to use the system, 
component, or service in a more secure manner; and 
3. User responsibilities in maintaining the security of the system, component, 
or service. 
c. Document attempts to obtain information system, system component, or 
information system service documentation when such documentation is either 
unavailable or nonexistent; 
d. Protect documentation, as required; and 
e. Distribute documentation to designated agency officials. 
Documents you may be interested
Documents you may be interested