在講完整個ISMS的要求過程後，再來就是講一下ISO 27001:2022附錄A的「控制措施」。

ISO 27002對控制措施的定義是：

Control is a measure that maintains and/or modifies risk. (ISO 27002:2022 3.1.8)
控制措施為維持及/或修改風險之措施。

在ISMS的規劃階段，組織執行了風險評鑑過程，找出了ISMS實作範圍內相關且超出風險準則的風險項目，進行了風險處理過程，於ISO 27001:2022附錄A中挑選能降低風險值的控制措施，並建立了適用性聲明，將該措施納入適用範圍；由這一刻開始，組織就必須要實作該控制措施的「管理制度」，以及依制度執行，產生證據，再進行績效評估，確認該控制措施確實有達到降低風險的功效。

那麼，「管理制度」要如何建立？這倒是較考驗控制措施的負責人；若組織有聘請顧問輔導的話，基本上顧問除了上課說明主條文要求外，就是丟好幾本顧問所寫的「公版」管理制度文件，面對這些陌生的制度文件要從何開始？或許先理解什麼是「過程導向」(Process Approach)開始是不錯的作法。

所謂的「過程導向」是：

Consistent and predictable results are achieved more effectively and efficiently when activities are understood and managed as interrelated processes that function as a coherent system. (ISO 9000:2015 2.3.4.1)
當活動被理解為作為一個連貫系統發揮作用的相互關聯的過程並進行管理時，就能更有效和高效地實現一致和可預測的結果。

過程是一種「將輸入轉換為輸出之相互關聯或交互作用的活動」，在考慮實現特定的結果時，若將必須要進行的一連串活動 (相互關聯的過程) 整合為一個過程時，只要輸入依照過程的要求，就一定可以得到想要的結果 (除非活動內有瑕疪、未依活動規則執行或輸入有錯誤)，因此以過程導向實作控制措施較能夠獲得預期的結果，也就是控制措施想要達到的目的。

不過即便有實作控制措施的過程，但未必代表該控制措施就可以降低所對應的風險，這需要經過績效評估才能確認。

所以，在ISO 27001:2022附錄A的所有93個控制措施，每一個都可以是一個管理制度，但實務上不太可能一對一的實作，大多數會將數個控制措施交互實作於一項管理制度內，或是用多個管理制度實作一個控制措施，也有可能多個控制措施交互實作於多個管理制度內，端看組織的特性。

用過程導向實作管理制度時，必須定義輸入 (Input)、活動 (Activities) 與輸出 (Output)，輸入是管理制度所需要處理的事物、活動是執行控制措施所必要的一個或多個交互相關的工作 (Task)，這些工作會有一個流程、處理、查核點等事項，輸出是活動的產物，基本上會是作為證據的記錄，以證明管理措施確實有執行。

例如A.5.9「資訊及其他相關聯資產之清冊」這個控制措施，其要求是「應製作並維護資訊及其他相關聯資產(包含擁有者)之清冊」，為了要達到這個要求，組織就必須實作建立資訊與關聯資產清冊的制度，也就是所謂的「資訊資產盤點」制度；輸入項為組織的各式資訊資產 (包含有形的人員、硬體及網路設備、辦公區域，以及無形的資料、軟體等)，活動是執行盤點的流程，依照這個流程會決定盤點資產的資訊 (如資產名稱、儲存位置、擁有人、使用人、獲得日期、狀態等)，最後輸出即是「資訊及其他相關聯資產之清冊」(可簡稱資訊資產清冊)；而活動中可能會有一些額外的審查或管理機制 (如擁有人的決定方式)，組織可以依實際需要設計進去。

ISO 27002:2022針對ISO 27001:2022所指定的所有93項控制措施提供實作的指引，在設計管理制度時可以參照ISO 27002:2022的指引，再結合組織現況來規劃，也可以參考顧問提供的「公版」來得知要實作到什麼程度及需要哪些必要的輸入、活動及輸出 (證據)；另外，指引內有時會引用到其他的標準，像A.5.9會參照到ISO 19770-1、A.5.19會參照到ISO 27036-2、A.5.23會參照到ISO 27017等，這時要注意管理制度的實作是否已符合控制措施的要求，而不必一定要完整引入其他的標準 (可以參考標準中的作法)，不過有些控制措施本身就是另一個管理系統的範疇 (如A.5.29與A.5.30的過程要參照ISO 22301的相關要求)，這時就可能有必要參考其標準，與控制措施的指引對照，實作控制措施的必要部分即可，不需要完全依照所參照的標準要求實作。