Дотримання жорсткого переліку заходів без можливості їхньої зміни.

Орієнтація лише на технічні засоби захисту без організаційних заходів.

Вибір заходів контролю залежно від аналізу ризиків та особливостей організації.

Вибіркове використання заходів, наведених у додатку A стандарту.