本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.8 資產管理

A.8.1 資產責任：識別組織之資產並定義適切之保護責任。
A.8.1.1 資產清冊：應識別與資訊及資訊處理設施相關聯之資產，並製作及維持此等資產之清冊 。
作者經驗分享：在面對稽核常被問到-公司資訊資產盤點範圍是什麼？是否有將驗證範圍內的資訊資產完成盤點？

A.8.1.2 資產擁有權：清冊中所維持之資產應具擁有者。
作者經驗分享：在面對稽核常被問到-是不是每個資產都有對應的擁有者？驗證當下要留意所有擁有者是否有離職的狀況發生

A.8.2.1 資訊之分級：資訊應依法律要求、價值、重要性及對未經授權揭露或修改之敏感性分級。
作者經驗分享：在面對稽核常被問到-公司現在的資訊分級定義是什麼？如何實作？

A.8.2.2 資訊之標示：應依組織所採用之資訊分級方案，發展及實作一套適切的資訊標示程序。
作者經驗分享：在面對稽核常被問到-公司現在如何進行資產標示？實地走訪電腦/通訊機房確認標示內容與清冊上是否一致，常見改善建議會是有設備汰換後沒有更新到標籤

A.8.3.1 可移除式媒體之管理：應依組織所採用之資訊分級方案，實作管理可移除式媒體之程序。
作者經驗分享：在面對稽核常被問到-實際檢視作業流程，並進行抽樣

A.8.3.2 媒體之汰除：當不再需要媒體時，應使用正式程序加以安全汰除。
作者經驗分享：在面對稽核常被問到-有沒有汰除紀錄？如何汰除？

A.8.3.3 實體媒體傳送：應保護含有資訊之媒體於傳送時，不受未經授權的存取、誤用或毀損。
作者經驗分享：在面對稽核常被問到-有沒有專人陪同保護實體媒體？

本節於ISMS中常見對應文件名稱：資訊資產管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/