本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.10 密碼學

A.10.1 密碼式控制措施：確保適當及有效使用密碼學，以保護資訊之機密性、鑑別性及/或完整性。
A.10.1.1 使用密碼式控制措施之政策：應發展及實作政策，關於資訊保護之密碼式控制措施的使用。
作者經驗分享：在面對稽核常被問到-有對應密碼學建立相關政策嗎？

A.10.1.2 金鑰管理：應發展及實作政策，關於貫穿其整個生命週期之密碼金鑰的使用、保護及生命期。
作者經驗分享：在面對稽核常被問到-公司如何評估現在使用的加密標準？有沒有確認組織所使用的加密技術是否符合業界標準，如AES、RSA等

A.11 實體及環境安全

A.11.1 保全區域：防止組織資訊及資訊處理設施遭未經授權之實體存取、損害及干擾。
A.11.1.1 實體安全周界：應定義及使用安全周界，以保護收容敏感或重要資訊及資訊處理設施之區域。
作者經驗分享：在面對稽核常被問到-有沒有定義安全邊界？實際走訪安全邊界並詢問存取權限

A.11.1.2 實體進入控制措施：保全區域應藉由適切之進入控制措施加以保護，以確保僅允許經授權人員進出。
作者經驗分享：在面對稽核常被問到-保全區域在哪？誰可以進出？有沒有門禁紀錄與影像？

A.11.1.4 防範外部及環境威脅：應設計並施行實體保護，以防範天然災害、惡意攻擊或事故。
作者經驗分享：在面對稽核常被問到-保護措施是什麼？是否已考量各種可能面臨的天然災害或是攻擊？

A.11.1.5 於保全區域內工作：應設計並施行於保全區域內工作之程序。
作者經驗分享：在面對稽核常被問到-保全區域的工作程序是哪份？人員如何落實程序要求？

A.11.1.6 交付及裝卸區：對諸如交付及裝卸區及其他未經授權人員可進入作業場所之進出點，應加以控制；若可能，應與資訊處理設施隔離，以避免未經授權之存取。
作者經驗分享：在面對稽核常被問到-公司的交付及裝卸區在哪？是否有保留cctv影像檔？

本節於ISMS中常見對應文件名稱：加密金鑰管理辦法&實體安全管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/