談到資料安全管理及人員管理，可對應於ISO 27001的A.7 & A.8, A.9, A.10, A.11也有相關控制措施對應.以下將說明對應的控制目標與措施.
A.7.2 資訊分類Information classification
目標：確保資訊受到適切等級的保護。

A.7.2.1 分類指導綱要Classification guidelines
控制措施Control
資訊應依其對組織的價值、法律要求、敏感性及重要性加以分類。

A.7.2.2 資訊標示與處置Information labelling and handling
控制措施Control
應依照組織所採用的分類法，發展與實作一套適當的資訊標示與處置程序。

A.8.1 聘僱之前 Prior to employment
目標：確保員工、承包者及第三方使用者了解其責任，並勝任其所被認定的角色，以降低竊盜、詐欺或設施誤用的風險。
A.8.1.1 角色與責任Roles and responsibilities
A.8.1.2 篩選Screening
A.8.1.3 聘僱條款與條件Terms and conditions of employment

A.8.2 聘僱期間 During employment
目標：確保所有員工、承包者及第三方使用者認知資訊安全的威脅與關切事項、其基本責任與強制責任，並有能力在日常工作中支持組織安全政策與降低人為錯誤的風險。
A.8.2.1 管理階層責任Management responsibilities
A.8.2.2 資訊安全認知、教育及訓練Information security awareness, education and training
A.8.2.3 懲處過程Disciplinary process

A.8.3 聘僱的終止或變更Termination or change of employment
目標：確保員工、承包者及第三方使用者以有條理的方式脫離組織或變更聘僱。
A.8.3.1 終止責任Termination responsibilities
A.8.3.2 資產的歸還Return of assets
A.8.3.3 存取權限的移除Removal of access rights

至於A.9, A.10, A.11有那些控制措施可對應到, 下回再與大家分享.