本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.12 運作安全

A.12.4 存錄及監視：記錄事件並產生證據。
A.12.4.1 事件存錄：應產生、保存並定期審查記錄使用者活動、異常、錯誤及資訊安全事件之事件日誌。
作者經驗分享：在面對稽核常被問到-目前什麼樣的服務會開啟事件存錄？紀錄了什麼樣的活動？保留多久？

A.12.4.2 日誌資訊之保護：應防範存錄設施及日誌資訊遭竄改及未經授權存取。
作者經驗分享：在面對稽核常被問到-如何保護日誌？誰有權限存取與修改日誌？日誌儲存在哪裡？

A.12.4.3 管理者及操作者日誌：應存錄系統管理者及操作者之活動，且應保護及定期審查該日誌。
作者經驗分享：在面對稽核常被問到-日誌的系統管理者與操作者的活動內容有什麼種類/事件類別？多久審查一次日誌？什麼樣的異常狀況會發送告警並進一步來確認系統狀況？

A.12.4.4 鐘訊同步：組織或安全領域內所有相關資訊處理系統之鐘訊，應與單一參考時間源同步。
作者經驗分享：在面對稽核常被問到-目前如何進行校時？鐘訊同步的時間源是連線至哪裡？實際抽查pc or 機房設備的鐘訊驗證同步是否確實

A.12.5 運作中軟體之控制：確保運作中系統之完整性。
A.12.5.1 對運作中系統之軟體安裝：應實作各項程序，以控制對運作中系統之軟體安裝。
作者經驗分享：在面對稽核常被問到-如何控制對運作中系統之軟體安裝?請舉例或是直接操作

A.12.6 技術脆弱性管理：防範對技術脆弱性之利用。
A.12.6.1 技術脆弱性管理：應及時取得關於使用中之資訊系統的技術脆弱性資訊，並應評估組織對此等脆弱性之暴露，且應採取適當措施以因應相關風險。
作者經驗分享：在面對稽核常被問到-公司現有如何進行弱點管理？如何監控與偵測？後續處理措施是什麼？是否可以舉最近幾次發現弱點與後續處理的內容？

本節於ISMS中常見對應文件名稱：運作安全管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/