Las amenazas pueden agruparse en conjuntos. Una amenaza puede pertenecer a varios conjuntos.
<amenazas <grupo cod="P3"> acceso lógico no autorizado, con alteración o sustracción de la información <amenaza cod="021" tipo="A" cnj="A,T"> acceso no autorizado a recursos y servicios </amenaza> <amenaza cod="008" tipo="C" cnj="C,T"> sustracción de información </amenaza> <amenaza cod="023" tipo="I" cnj="I,T> modificación de información </amenaza> <amenaza cod="024" tipo="I" cnj="I,T> modificación de programas </amenaza> </grupo> </amenazas>
El conjunto A contiene la amenaza 021.
El conjunto C contiene la amenaza 008.
El conjunto I contiene las amenazas 023 y 024.
El conjunto T contiene las amenazas 021, 008, 023 y 024.