Na análise física e do ambiente, são levantadas as informações relacionadas às ameaças internas que podem ser consideradas como um risco de acesso físico às informações. A análise é realizada através da visita in loco aos departamentos internos da organização, locais de armazenamento de documentos e dados e verificação do set up de estações de trabalho.
Alguns dos principais pontos observados: Armazenamento inseguro de dados e documentos, descarte inseguro de informação, medidas de segurança físicas adotadas, estações de trabalho vulneráveis, informação exposta e existência de possíveis shadow ITs.