前面幾章都在談對於稽核相關的要求，再來我們要來談到 ISO 27001:2013 年版的框架。

ISO 27001：2013資訊安全管理系統

圖片來源：資安人
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7348

由上圖可以很清楚各章的每個階段的主要目標：計劃(Plan)、執行(Do)、檢查(Check)、改善(Act)
對應到主要的標準，快速用三句以內來做重點整理：

0.前言

• 版本宣告
• 兼容其他 ISO 體系

1.適用範圍

• 標準宣告適用所有組織，且不得排除標準 4 - 10 節任何要求事項。

2.引用標準

• 參考引用相關標準：CNS 27000 資訊技術－ 安全技術－ 資訊安全管理系統－ 概觀及詞彙

3.用語標準

• 名詞定義

= = = = = = = = = = ． = = = = = = = = = = ． = = = = = = = = = =

4. 組織全景(Plan)

• 高層訪談
• 資訊安全管理系統(ISMS) 目的、範圍

5. 領導作為(Plan)

• 高層訪談
• 組織架構

6. 規劃(Plan)

• 資訊安全風險識別、分析、評估，產出風險處理計畫
• 適用性聲明
• 有效性量效之指標

7. 支援(Plan)

• 人事任用、教育訓練
• 政策宣達
• 文件化資訊控制管理

= = = = = = = = = = ． = = = = = = = = = = ． = = = = = = = = = =

8. 運作(Do)

• 風險評鑑
• 風險處理

9. 績效評估(Check)

• 有效性量測指標
• 內部稽核

稽核

為獲得證據並對其進行客觀地評估，以確定滿足稽核準則的程度所進行有系統化的、獨立性及文件化的過程。

稽核七大準則

• 誠信：職業精神的基礎
• 公平陳述：公正客觀、準確地報告稽核結果
• 職業素養：勤奮與判斷力在稽核中的運用 (經歷應該 3 - 5 年)
• 保密性：資訊安全
• 獨立性：稽核的公正性和稽核結論的客觀性
• 基於證據的方法：稽核證據需可被驗證、合理獲得、可靠 & 可重現的稽核結論的方法
• 基於風險的方法：考慮風險和機會的稽核方法

獨立性：不能稽核曾經從事過或是參與過的專案。
一致性：參照政策、程序或稽核相關的其他要求，並做比較，以尋求客觀證據，如：稽核查檢表。
= = = = = = = = = = ． = = = = = = = = = = ． = = = = = = = = = =

10. 改善(Act)

• 針對內部稽核、管理審查或是追蹤事項是否有效改善