| 1 | Зөвхөн эрхтэй хэрэглэгч мэдээлэлд нэвтрэх | A.5.15 | AC-1, AC-2, AC-6 | 4 |
| 2 | Мэдээллийн шифрлэл хийгдсэн | A.8.25 | SC-12 to SC-28 | 3, 13 |
| 3 | Нэвтрэх эрхийн хяналт сайн уу | A.5.18 | AC-2, AC-3, AC-5 | 4 |
| 4 | Мэдээлэл эвдэрч, өөрчлөгдөхөөс хамгаалагдсан уу | A.8.9 | SI-7, SC-28 | 14 |
| 5 | Тэмдэглэл, лог бүртгэл хадгалагдаж буй эсэх | A.8.15 | AU-2 to AU-12 | 8 |
| 6 | Файл болон өгөгдлийн баталгаажуулалт | A.8.9, A.8.11 | SC-12, SC-13, SI-10 | 3, 14 |
| 7 | Системүүд тасралтгүй ажиллах чадвартай юу | A.5.29 | CP-1 to CP-10 | 11 |
| 8 | Нөөцлөлт болон сэргээх төлөвлөгөө байгаа юу | A.8.13 | CP-6, CP-9 | 11 |
| 9 | DDoS, сервер унтралтын эсрэг хамгаалалт | A.8.16 | SC-5, SC-24 | 9 |
| 10 | Хэрэглэгчийн эрхийг зөв тодорхойлсон уу | A.5.16 | AC-2, AC-5 | 4 |
| 11 | Эрхүүдийг хянах, хязгаарлах арга хэмжээ | A.5.17 | AC-6, AC-7 | 4 |
| 12 | Нэвтрэлт бүрийг лог хийж хадгалж байгаа юу | A.8.15 | AU-2, AU-6, AU-12 | 8 |
| 13 | Firewall, IDS/IPS ашиглаж байгаа юу | A.8.20 | SC-7, SC-32 | 9 |
| 14 | VPN болон хандалтын хамгаалалт | A.8.20, A.8.21 | AC-17, SC-12, SC-13 | 12 |
| 15 | Сүлжээний сегментчлэл хийсэн эсэх | A.8.20 | SC-7 | 9 |
| 16 | Аюулгүй байдлын бодлого бий юу | A.5.1 | PL-1 | 1 |
| 17 | Ажилтнууд хамгаалалтын талаар мэдлэгтэй юу | A.6.3 | AT-2, AT-3, AT-4 | 14 |
| 18 | Стандартад нийцсэн баримт бичгүүд | A.5.2, A.5.3 | PL-2, PL-4 | 1 |
| 19 | Эрсдэлийг үнэлсэн үү? | A.5.4 | RA-1 to RA-7 | 2 |
| 20 | Дотоод аудит хийсэн үү? | A.9.2 | CA-2, CA-7 | 2 |
| 21 | Эрсдэл бууруулах арга хэмжээ төлөвлөсөн үү? | A.5.4, A.6.1 | RA-3, PM-9 | 2 |
| 22 | Пентест хийсэн үү? | A.5.29 | CA-8, SI-4 | 20 |
| 23 | CVE, Zero-Day шалгасан уу? | A.8.7 | SI-2, RA-5 | 7 |
| 24 | Сэрэмжлүүлэг, хамгаалалт шинээр нэмэгдсэн үү? | A.5.30 | IR-6, IR-9, SI-5 | 6, 7, 18 |