本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.7 人力資源安全

A.7.1 聘用前：確保員工及承包者瞭解其將承擔之責任，且適任其角色。
A.7.1.1 篩選：對所有可能被聘用者所進行之背景調查。
作者經驗分享：在面對稽核常被問到-背景調查是否有管理流程？如果該員工工作內容涉及營業秘密，是否有要求其提供良民證？

A.7.1.2 聘用條款及條件：組織與員工及承包者簽訂之契約化協議書，應敘明雙方對資訊安全的責任。
作者經驗分享：在面對稽核常被問到-請提供稽核時間內的任何一份到職契約，抽查當中是否敘明雙方對資訊安全的責任

A.7.2.2 資訊安全認知、教育及訓練：組織所有員工及相關之承包者，均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練，並定期更新。
作者經驗分享：在面對稽核常被問到-依據公司的人力資源管理辦法，詢問教育訓練計畫並實際抽查訓練紀錄。

A.7.2.3 懲處過程：應具備正式及已傳達之懲處過程，以對違反資訊安全之員工採取行動。
作者經驗分享：在面對稽核常被問到-有沒有訂定懲處程序？

A.7.3.1 聘用責任之終止或變更：應對員工及承包者定義、傳達於聘用終止或變更後，資訊安全責任及義務仍保持有效，並執行之。
作者經驗分享：在面對稽核常被問到-有沒有訂定人員聘用程序？當中的聘用終止流程是？

本節於ISMS中常見對應文件名稱：人力資源管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/