本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.5 資訊安全政策

A.5.1 資訊安全之管理指導方針

目標：依照營運要求及相關法律與法規，提供管理階層對資訊安全之指示與支持。
A.5.1.1 資訊安全政策
資訊安全政策文件須經定義、由管理階層核准，並公布傳達給所有員工與相關各外部團體。
作者經驗分享：在面對稽核常被問到-詢問是否有提供政策給相關各外部團體？如有，如何留存提供紀錄？

A.5.1.2 資訊安全政策之審查
資訊安全政策須按照規劃的期間或當發生重大改變時進行審查，確保其妥適性、涵蓋性與有效性。
作者經驗分享：在面對稽核常被問到-詢問是否有依照上述要求的時間進行審查？如有，是以何種方式進行審查？是否留存審查紀錄？

本節於ISMS中常見對應文件名稱：資訊安全政策

參考資料：
CNS 27001
https://www.cnsonline.com.tw/