Die zweite wesentliche Änderung betrifft den Anhang A der ISO/IEC 27001 dieser erfährt analog zur neuen ISO/IEC 27002 eine grundlegende strukturelle Überarbeitung so gibt es statt der bisherigen 114 Maßnahmen in 14 Bereichen künftig nur noch 93 aufgeteilt in die vier Bereiche organisatorische (37 Maßnahmen) personelle (8 Maßnahmen) physische (14 Maßnahmen) und technische Maßnahmen (34 Maßnahmen)