Annex A ist der normative Anhang zu ISO 27001:2022 und enthält 93 Referenzkontrollmaßnahmen, gegliedert in vier Themen: organisatorische, personelle, physische und technologische Kontrollen. Jede Kontrolle hat eine Nummer (z. B. A.5.1) und einen Kurztitel.
Im Rahmen des ISMS nutzt Du Annex A als Referenzkatalog bei der Erstellung des Statement of Applicability (SoA, ISO 27001 Clause 6.1.3 d). Für jede Kontrolle dokumentierst Du, ob sie anwendbar ist, wie sie umgesetzt wird und — falls nicht anwendbar — die Begründung. Die Kontrollen in Annex A sind bewusst als Mindestumfang formuliert; Deine Organisation kann zusätzliche Maßnahmen definieren. Der zugehörige Implementierungsleitfaden findet sich in ISO 27002:2022.