本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.15 供應者關係

A.15.1 供應者關係中之資訊安全：確保對供應者可存取之組織資產的保護。
A.15.1.1 供應者關係之資訊安全政策：應與供應者議定並文件化，降低與供應者存取組織資產關聯之風險的資訊安全要求事項。
作者經驗分享：在面對稽核常被問到-有沒有供應商管理的程序文件？

A.15.1.2 於供應者協議中闡明安全性：應與每個可能存取、處理、儲存或傳達資訊，或提供IT 基礎建設組件資訊之供應者，建立及議定所有相關資訊安全要求事項。
作者經驗分享：在面對稽核常被問到-有沒有將公司對供應商的資訊安全相關要求傳遞給供應商？如何傳遞？合約是否有載明？

A.15.1.3 資訊及通訊技術供應鏈：與供應者之協議，應包含因應與資訊及通訊技術服務及產品供應鏈關聯之資訊安全風險。
作者經驗分享：在面對稽核常被問到-合約/協議中，有沒有提及資通訊/產品供應鏈的資訊安全標準？如，交付前應有安全檢測程序等

A.15.2 供應者服務交付管理：維持資訊安全及服務交付之議定等級與供應者協議一致。
A.15.2.1 供應者服務之監視及審查：組織應定期監視、審查及稽核供應者服務交付。
作者經驗分享：在面對稽核常被問到-有沒有定期監視、審查及稽核供應者服務交付？如果有，抽樣最近幾份定期監視、審查及稽核紀錄，確認相關要求都有落實執行

A.15.2.2 管理供應者服務之變更：應管理供應者所提供服務之變更，包括維持及改善既有的資訊安全政策、程序及控制措施，並考量所涉及之營運資訊、系統及過程的關鍵性，以及風險之重新評鑑。
作者經驗分享：在面對稽核常被問到-供應商是否有發生服務變更？像是交付商品延後/規格變更/人員異動等，以及上述變更是否有執行風險重新評鑑的必要性？

補充
A.14.3 測試資料
A.14.3.1 測試資料之保護：應小心選擇、保護及控制測試資料。
作者經驗分享：在面對稽核常被問到-測試資料如何生成？抽測系統所使用的測試資料，確認是否沒有來自真實資料

本節於ISMS中常見對應文件名稱：供應者關係管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/