本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.14 系統獲取、開發及維護

A.14.2 於開發及支援過程中之安全：確保於資訊系統之開發生命週期內，設計及實作資訊安全。
A.14.2.4 軟體套件變更之限制：應不鼓勵修改軟體套件，且僅限於必要變更，並應嚴格控制所有變更。
作者經驗分享：在面對稽核常被問到-有沒有與需求來源單位討論該次變更的紀錄，並評估變更的必要性？

A.14.2.5 保全系統工程原則：保全系統之工程原則，應予建立、文件化、維持及應用於所有資訊系統實作工作。
作者經驗分享：在面對稽核常被問到-有沒有建立系統對應的操作文件/SOP? 如果系統出現服務效能問題會以什麼方式查找問題？

A.14.2.6 保全開發環境：對涵蓋整個系統開發生命週期之系統開發及整合工作，組織應建立並適切保護安全開發環境。
作者經驗分享：在面對稽核常被問到-使用什麼環境進行開發？平常如何維護開發環境的安全性更新？

A.14.2.7 委外開發：組織應監督及監視委外系統開發活動。
作者經驗分享：在面對稽核常被問到-有沒有委外開發？如果有，抽樣最近幾份合約與驗收紀錄及與委外廠商溝通紀錄，確認公司的資訊安全要求都有告知委外廠商

A.14.2.8 系統安全測試：於開發中，應實施安全功能性之測試。
作者經驗分享：在面對稽核常被問到-詢問如何對安全功能性之測試，抽樣幾次的測試紀錄；或請受稽核單位找出近幾次有沒有安全功能性測試沒通過的狀況？ 如果沒有通過，是如何管理該次的上版作業？

A.14.2.9 系統驗收測試：應建立新資訊系統、系統升級及新版本之驗收測試計畫及準則。
作者經驗分享：在面對稽核常被問到-抽樣最近的幾次驗收測試計畫與紀錄，確認符合要求

本節於ISMS中常見對應文件名稱：系統獲取、開發及維護管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/