Додаток А визначає підходи до оцінювання ризиків інформаційної безпеки.

Додаток А - це каталог загроз інформаційній безпеці.

Додаток А є нормативним,  якщо і зроблено виключення,  то вони повинні бути обґрунтованими.

Додаток А  містить всебічний перелік цілей заходів безпеки та заходів безпеки.