本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.9 存取控制

A.9.1 存取控制之營運要求事項：限制對資訊及資訊處理設施之存取。
A.9.1.1 存取控制政策：存取控制政策應依據營運及資訊安全要求事項，建立、文件化及審查之 。
作者經驗分享：在面對稽核常被問到-有存取控制政策嗎？

A.9.2 使用者存取管理：確保經授權使用者對系統及服務之存取，並防止未經授權之存取。
A.9.2.2使用者存取權限之配置：應實作正式之使用者存取權限配置程序，以對所有型式之使用者對所有系統及服務，指派或撤銷存取權限。
作者經驗分享：在面對稽核常被問到-實際抽樣最近幾筆到職離職的資訊系統帳號權限開立紀錄，常見新到職的同仁帳號權限與當初提出申請的要求不符合

A.9.2.3 具特殊存取權限之管理：應限制及控制具特殊存取權限之配置及使用。
作者經驗分享：在面對稽核常被問到-驗證系統的特權帳號有哪些？各個特權帳號被賦予特權的理由是什麼？

A.9.2.5 使用者存取權限之審查：資產擁有者應定期審查使用者之存取權限。
作者經驗分享：在面對稽核常被問到-抽查最近一次的帳號權限審查紀錄

A.9.2.6 存取權限之移除或調整：所有員工及外部使用者對資訊及資訊處理設施之存取權限，一旦其聘用、契約或協議終止時，均應予以移除；或於其聘用、契約或協議變更時均須調整之。
作者經驗分享：在面對稽核常被問到-最常見的是外部服務供應商有更換或是有人員異動時，沒有進行對應的權限調整

A.9.4 系統及應用存取控制：防止系統及應用遭未經授權之存取。
A.9.4.3 通行碼管理系統：通行碼管理系統應為互動式，並應確保嚴謹通行碼。
作者經驗分享：在面對稽核常被問到-公司目前如何進行密碼管理？如有要求密碼複雜度，抽樣資訊系統上的密碼設定

A.9.4.5 對程式源碼之存取控制：應限制對程式源碼之存取。
作者經驗分享：在面對稽核常被問到-公司目前如何進行程式源碼管理？是否有進行程式源碼管理的帳號盤點？

本節於ISMS中常見對應文件名稱：存取控制管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/