本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.6 資訊安全組織

A.6.1 內部組織目標:管理組織內部的資訊安全

A.6.1.1 資訊安全之角色及責任:所有的資訊安全職責皆須明確定義。
作者經驗分享：在面對稽核常被問到-是否已根據資安政策建立資訊安全管理架構及職責分配？
作者經驗分享：在面對稽核常被問到-是否已識別保護個別資產及執行特定資安程序之責任歸屬？

A.6.1.2 職務區隔:責任與職務範圍須作區隔，以降低未經授權的或非蓄意的修改或誤用組織資產之機會。
作者經驗分享：在面對稽核常被問到-是否已進行人員職務區隔？新創公司常見資訊人員兼任資安業務

A.6.1.3 與權責機關之連繫:須與相關主管機關維持適當的連繫。
作者經驗分享：在面對稽核常被問到-與主管機關之聯繫管道是否已明訂：何時、由誰聯繫；如何及時通報已識別之資安事件。

A.6.1.4 與特殊關注方之連繫 :須與特殊專業團體、或其他安全專業論壇與專業協會維持適當的聯繫。
作者經驗分享：在面對稽核常被問到-與特殊關注方之聯繫管道是否已明訂：何時、由誰聯繫；如何及時通報已識別之資安事件。

A.6.1.5 專案管理之資訊安全:不論何種專案形式，專案管理中皆應處理相關之資訊安全議題。
作者經驗分享：在面對稽核常被問到-如何識別？如何在專案過程中處理資安議題？

本節於ISMS中常見對應文件名稱：資訊安全組織管理規範

參考資料：
CNS 27001
https://www.cnsonline.com.tw/