A ISO 27002:2022 reorganiza e atualiza os controles em grupos de classificações, estabelecendo as medidas adotadas para tratar riscos. Os controles podem ser de três tipos, que tem a ver com o momento de atuação, em relação à ocorrência de incidentes. O primeiro se destina a evitar a ocorrência de um incidente de segurança da informação, o segundo age quando ocorre um incidente de segurança da informação e o terceiro age após um incidente de segurança da informação ter ocorrido. Esses três tipos de controles são conhecidos, respectivamente, como: