本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.14 系統獲取、開發及維護
A.14.1 資訊系統之安全要求事項：確保資訊安全係跨越整個生命週期之整體資訊系統的一部分。此亦包括經由公共網路提供服務之資訊系統的要求事項。
A.14.1.1 資訊安全要求事項分析及規格：資訊安全相關要求事項，應納入新資訊系統或既有資訊系統之強化的要求事項中。
作者經驗分享：在面對稽核常被問到-如何將資訊安全相關要求事項納入新資訊系統或既有資訊系統之強化的要求？能不能舉例？如：系統開發流程架構中，納入SSDLC等概念

A.14.1.2 保全公共網路之應用服務：應防範於公共網路上傳送的應用服務中涉及之資訊，免於詐欺活動、契約爭議及未經授權揭露與修改。
作者經驗分享：在面對稽核常被問到-在系統開發的過程中，使用了什麼技術滿足以上要求？

A.14.1.3 保護應用服務交易：應保護應用服務交易中涉及之資訊，以防止不完整傳輸、誤選路(mis-routing)、未經授權之訊息修改、未經授權之揭露、未經授權之訊息複製或重演。
作者經驗分享：在面對稽核常被問到-在系統開發的過程中，使用了什麼技術滿足以上要求？也會結合其他控制項，詢問公司是否具備獲取上述未經授權之揭露、未經授權之訊息複製的能力？

A.14.2 於開發及支援過程中之安全：確保於資訊系統之開發生命週期內，設計及實作資訊安全。
A.14.2.1 保全開發政策：應建立軟體及系統開發之規則，並應用至組織內之開發。
作者經驗分享：在面對稽核常被問到-有沒有對應的程序文件？平時開發時如何依循程序文件執行？

A.14.2.2 系統變更控制程序：應藉由使用正式之變更控制程序，以控制開發生命週期內之系統變更。
作者經驗分享：在面對稽核常被問到-變更控制程序是？開發測試上線有沒有評估要區分不同人進行？透過什麼軟體進行變更控制？變更時有沒有既有的核准流程？抽樣核准流程並檢視驗證範圍與時間區間中的變更紀錄，與需求來源進行比對，確認抽樣資料中的變更作業是符合標準要求

A.14.2.3 運作平台變更後，應用之技術審查：當運作平台變更時，應審查及測試營運之關鍵應用，以確保對組織運作或安全無不利衝擊。
作者經驗分享：在面對稽核常被問到-變更上線前後，有沒有進行審查與測試？有的話抽樣審查紀錄與測試紀錄

本節於ISMS中常見對應文件名稱：系統獲取、開發及維護管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/