Bijlage A van ISO 27001:2022 bevat 93 referentiebeveiligingsmaatregelen, georganiseerd in vier thema's: organisatorisch, mensen, fysiek en technologisch. Deze maatregelen vormen een uitgebreide catalogus waaruit organisaties toepasselijke maatregelen selecteren op basis van hun risicobeoordeling en Verklaring van Toepasselijkheid (VvT).
De herziening van 2022 herstructureerde de maatregelen van 14 domeinen naar vier thema's en introduceerde 11 nieuwe maatregelen over onderwerpen als dreigingsinformatie, cloudbeveiliging en datamaskering. Organisaties gebruiken Bijlage A als checklist om te waarborgen dat geen enkel kritiek beveiligingsgebied over het hoofd wordt gezien en om due diligence aan te tonen aan auditors en certificatie-instellingen.