本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.13 通訊安全
A.13.1 網路安全管理：確保對網路及其支援之資訊處理設施中資訊之保護。
A.13.1.1 網路控制措施：應管理及控制網路，以保護資訊系統及應用。
作者經驗分享：在面對稽核常被問到-通常第一題會詢問網路架構圖與更新頻率？確認驗證範圍內的網路環境均有納入

A.13.1.2 網路服務之安全：應識別所有網路服務之安全機制、服務等級及管理要求事項，並應被納入網路服務協議中，不論此等服務係由內部或委外提供。
作者經驗分享：在面對稽核常被問到-對現有的網路服務進行其所使用的網路服務協議抽樣，確認是否符合產業別或國際上的安全基準要求

A.13.1.3 網路之區隔：應區隔各群組之資訊服務、使用者及資訊系統使用的網路。
作者經驗分享：在面對稽核常被問到-對照網路架構圖，對網路區隔及網段進行抽樣，如：DMZ的範圍？以及網段區隔是否與網路架構圖上一致；以及對cloud service進行security group確認

A.13.2 資訊傳送：維護組織內及與任何外部個體所傳送資訊之安全。
A.13.2.1 資訊傳送政策及程序：應備妥正式之傳送政策、程序及控制措施，以保護經由使用所有型式通訊設施之資訊傳送。
作者經驗分享：在面對稽核常被問到-有沒有資訊傳送對應的程序文件？

A.13.2.2 資訊傳送協議：協議應闡明組織與外部各方間營運資訊之安全傳送。
作者經驗分享：在面對稽核常被問到-程序文件中是否註明公司使用的資訊傳送協議，如：TLS 1.3？

A.13.2.3 電子傳訊：應適切保護電子傳訊時所涉及之資訊。
作者經驗分享：在面對稽核常被問到-公司現有如何保護電子傳訊時所涉及之資訊？實際措施是？

A.13.2.4 機密性或保密協議：宜識別、定期審查及文件化，以反映組織對資訊保護之需要的機密性或保密協議之要求事項。
作者經驗分享：在面對稽核常被問到-多久審查一次上述通訊安全相關要求？確認公司現有通訊安全機制符合產業/國際相關標準要求

本節於ISMS中常見對應文件名稱：通訊安全管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/