本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.11 實體及環境安全(下)

A.11.2 設備：防止資產之遺失、損害、遭竊或破解，並防止組織運作中斷。
A.11.2.1 設備安置及保護：應安置並保護設備，以降低來自環境之威脅及危害造成的風險，以及未經授權存取之機會。
作者經驗分享：在面對稽核常被問到-如何安置並保護設備？有沒有安裝門禁系統/CCTV/機房進出入登記簿？維修廠商到訪時是否皆有公司人員陪同？

A.11.2.2 支援之公用服務事業：應保護設備免於電源失效，及因其他支援之公用服務事業失效，所導致之中斷。
作者經驗分享：在面對稽核常被問到-有沒有安裝UPS？上一次對UPS進行測試或是檢修是什麼時候？

A.11.2.3 佈纜安全：應保護傳送資料或支援資訊服務之電源及電信佈纜，以防範竊聽、干擾或損害。
作者經驗分享：在面對稽核常被問到-公司現有的電源/電信供應商？是否有配置備援電源/電信供應商？

A.11.2.4 設備維護：應正確維護設備，以確保其持續之可用性及完整性。
作者經驗分享：在面對稽核常被問到-電腦機房中的設備有哪些是需要維護的？有沒有維護紀錄？並結合前面提到的門禁紀錄與CCTV影像記錄進行比對

A.11.2.5 資產之攜出：未經事前授權，不得將設備、資訊或軟體帶出場域外。
作者經驗分享：在面對稽核常被問到-什麼狀況公司會將資產攜出？最近一次紀錄是？通常攜出常常伴隨的是攜入設備進行更換，常用的設備攜出入登記表可以注意一下有沒有一致(一進一出...等)

A.11.2.6 場所外設備及資產之安全：安全應適用於場域外資產，並將於組織場所外工作之不同風險納入考量。
作者經驗分享：在面對稽核常被問到-公司對於資產的安全控管措施有什麼？如何監控場所外設備及資產之安全？

A.11.2.7 設備汰除或再使用之保全：含有儲存媒體之所有設備組件，於汰除或再使用前應加以查證，以確保任何敏感性資料及有版權之軟體已被移除或安全地覆寫。
作者經驗分享：在面對稽核常被問到-公司現有的設備汰除流程是什麼？抽樣如何確保任何敏感性資料及有版權之軟體已被移除或安全地覆寫？

A.11.2.8 無人看管之使用者設備：使用者應確保無人看管之設備具適切保護。
作者經驗分享：在面對稽核常被問到-公司如何確保無人看管之設備具適切保護？並結合前面提到的門禁紀錄與CCTV影像記錄進行比對，或確認是否皆有設置如螢幕保護程式或是session timeout等保護措施

A.11.2.9 桌面淨空及螢幕淨空政策 ：對紙本及可移除式儲存媒體應採用桌面淨空政策，且對資訊處理設施應採用螢幕淨空政策。
作者經驗分享：在面對稽核常被問到-實際對上述要求進行系統設定確認並抽樣

本節於ISMS中常見對應文件名稱：實體安全管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/