本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

1. 適用範圍
   1. 作者經驗分享：如要驗證本標準，不得排除本文中第四節(組織全景)至第十節(改善)所規定之任何要求事項
2. 引用標準
   1. 引用CNS 27000資訊技術-安全技術-資訊安全管理系統-概觀及詞彙
3. 用語與定義
   1. CNS 27000所規定之用語及定義適用於本標準
4. 組織全景
   1. 瞭解組織及其全景
   2. 瞭解關注方之需要及期望
   3. 決定資訊安全管理系統之範圍
   4. 資訊安全管理系統
5. 領導作為
   1. 領導及承諾
      1. 最高管理階層應藉由下列事項，展現對資訊安全管理系統之領導及承諾，如(僅摘錄)：
         1. 確保已建立資訊安全政策及資訊安全目標，並與組織之策略方向相容 。
         2. 確保資訊安全管理系統所需之資源可取得。
         3. 傳達有效之資訊安全管理的重要性
         4. 確保資訊安全管理系統達成其預期成果。
   2. 政策組織角色/責任及權限
6. 規劃
   1. 因應風險及機會之行動
      1. 建立及維持包括下列準則之資訊安全風險準則：
         1. 風險接受準則。
         2. 履行資訊安全風險評鑑之準則 。
      2. 作者經驗分享：換言之，組織要擬定一套風險評估的方法，詳情可參考CNS31000風險管理－指導綱要
   2. 資訊安全目標及其達成之規劃
      1. 組織應於各相關部門及層級建立資訊安全目標
      2. 作者經驗分享：擬定目標時，須留意本文有要求必要的滿足項目，如：與資訊安全政策一致．稽核常見實務為將政策與資訊安全目標進行比對，確保資訊安全目標與資訊安全政策一致
7. 支援
   1. 資源
   2. 能力
      1. 組織宜採取下列措施。
         1. 決定於組織控制下執行工作，影響其資訊安全績效人員之必要能力。
         2. 確保此等人員於適當教育、訓練或經驗之基礎上能勝任 。
         3. 於適當時，採取取得必要能力之行動 ，並評估所採取行動之有效性 。
         4. 保存適切之文件化資訊，作為勝任之證據。
      2. 作者經驗分享：換言之，滿足此要求之方式常見為：組織要保留員工為具備該職位同等職能之受訓/參與研討會之出席/測驗/問卷紀錄；稽核常見實務為抽驗教育訓練紀錄，確認：
         1. 相關教育訓練要求皆已滿足，如：
            1. 相關課程內容是否皆已滿足法令法規或相關利害關係人要求，須留意寫好的文件卻未完成應完成之訓練課程
            2. 應出席之人數是否皆已達到出席之時數要求並留存出席紀錄
            3. 如有測驗或是問卷紀錄，是否皆已完整保留可供抽驗
   3. 認知
   4. 溝通或傳達
   5. 文件化資訊

參考資料：
CNS 27001
https://www.cnsonline.com.tw/