今天開始介紹附錄，附錄的內容主要為控制措施的實作要求，但組織可以依照自身情況決定是否實作，只要能符合主條文的規定即可。
由於附錄大多為實做措施，無法詳細列出，因此此處僅簡介各節內容。

A.5 資安政策

• 規定了資安政策的核准、變更、傳達控制措施。

A.6 資安組織

• 資安組織中的職務角色與責任，並與有關單位保持聯繫。
• 管理在組織中使用行動裝置與遠距辦公的風險。

A.7 人力資源安全

• 聘僱員工前所需進行的工作，以及簽署契約明訂資安的責任。
• 管理層要求員工及委外廠商，確實遵守資安規定、接受教育訓練，並對違規者懲處。
• 聘僱結束或變更後，對資安的責任和義務依然有效。

A.8 資產管理

• 識別資產製作成冊，並確保其被合理使用與歸還。
• 應針對資訊進行分級、標示、處置，確保其受到適當保護。
• 對媒體的傳送、報廢銷毀進行保護與遵循程序，並對可攜式媒體進行管控。

A.9 存取控制

• 對使用者進行存取管理，實作正式註冊與取消過程。
• 實作正式使用者權限配置程序，並限制特殊權限使用、管理秘密鑑別資訊配置，並定期審查。
• 根據存取控制政策限制對系統的存取，並以保全登入程序對系統存取進行控制。
• 限制特殊程式（具有系統管理權限）使用。
• 限制對 Source Code 的存取。

A.10 密碼學

• 實作密碼控制措施，以及整個生命週期的密碼使用、保護、生命週期。

A.11 實體與環境安全

• 定義實體安全的邊界，並對其施行控制措施，防範外部和環境威脅。
• 針對保全區域、交付裝卸區進行控制與隔離。
• 保護及正確設備，並保護設備的電力來源、各種纜線受到保護。
• 未經授權不得攜出財產，若需攜出應考量其風險。
• 設備報廢前，應確保敏感性資料或版權資料已被確實移除。
• 對無人看管設備進行保護，並執行桌面及螢幕淨空政策。