本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

1. 運作
   1.1. 運作之規劃及控制
   1.2. 資訊安全風險評鑑
   1.2.1. 組織應依規劃之期間，或當提議或發生重大變更時，考量6.1.2(a)所建立之準則，執行資訊安全風險評鑑。
   1.2.2. 作者經驗分享：此處常見提問有可能結合內外部法令法規變動或組織面臨之資安威脅，詢問是否有再次執行資訊安全風險評鑑之必要．如有，則應有對應之紀錄留存
   1.3. 資訊安全風險處理
2. 績效評估
   2.1. 監督/量測/分析及評估
   2.2. 內部稽核
   2.2.1. 組織應採取下列作為。
   2.2.1.1. 規劃、建立、實作及維持稽核計畫，包括頻率、方法 、責任 、規劃要求事項及報告。該稽核計畫應將所關注之重要過程及前次稽核之結果納入考量。
   2.2.1.1.1. 作者經驗分享：在面對稽核常被問到：有沒有將前次稽核之結果納入考量，以至於後續於內部稽核活動時遺漏前次稽核之結果
   2.2.1.2. 定義各稽核之準則及稽核之範圍 。
   2.2.1.2.1. 作者經驗分享：在面對稽核常被問到：有沒有明確定義稽核範圍，以至於內部稽核當下對於應進行稽核之單位模糊不清
   2.2.1.3. 選擇稽核員及施行稽核 ，以確保稽核過程之客觀性及公平性。
   2.2.1.3.1. 作者經驗分享：在面對稽核常被問到：有沒有對稽核員資格進行要求？部分內外部規範較為嚴格時，是有可能會對稽核員的資格進行近一步的要求，如：是否具有ISO27001 LA主導稽核員之資格
   2.2.1.4. 確保稽核之結果對相關管理階層報告。
   2.2.1.4.1. 作者經驗分享：在面對稽核常被問到：有沒有留存報告紀錄？還是僅透過口頭報告？
   2.2.1.5. 保存文件化資訊作為稽核計畫及稽核結果之證據。
   2.3 管理審查
   2.3.1. 最高管理階層應於規劃之期間，審查組織之資訊安全管理系統，以確保其持續的 合宜性、適切性及有效性。
   2.3.1.1. 作者經驗分享：此處常見稽核發現事項為：管理審查要求項目眾多，稽核單位會對管理審查應有的輸入輸出項進行確認是否符合要求
3. 改善
   3.1. 不符合項目及矯正措施
   3.1.1. 不符合項目發生時，組織應有下列作為：
   3.1.1.1. 對不符合項目反應，並於適當時採取下列作為：
   3.1.1.1.1. 採取行動以控制並矯正之。
   3.1.1.1.2. 處理其後果。
   3.1.1.2. 藉由下列作為 ，評估對消除不符合項目之原因的行動之需要，使其不再發生且不於他處發生。
   3.1.2. 作者經驗分享：此處常見稽核發現事項為：未對不符合項目進行矯正/預防措施
   3.2. 持續改善

附錄A-參考控制項目及控制措施

參考資料：
CNS 27001
https://www.cnsonline.com.tw/