本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.16 資訊安全事故管理

A.16.1 資訊安全事故及改善之管理：確保對資訊安全事故之管理的一致及有效作法，包括對安全事件及弱點之傳達。
A.16.1.1 責任及程序：應建立管理責任及程序，以確保對資訊安全事故做迅速、有效及有序之回應。
作者經驗分享：在面對稽核常被問到-有沒有資訊安全事故對應的管理程序文件？

A.16.1.2 通報資訊安全事件：應循適切之管理管道，儘速通報資訊安全事件。
作者經驗分享：在面對稽核常被問到-公司現有資訊安全事件通報管道是什麼？有沒有應該要通報的主管機關？

A.16.1.3 通報資訊安全弱點：應要求使用資訊系統及服務之員工及承包者，注意並通報任何系統或服務中所觀察到或可疑之資訊安全弱點。
作者經驗分享：在面對稽核常被問到-合約/協議中，有沒有要求使用資訊系統及服務之員工及承包者，發現疑似資訊安全事件時，儘速進行通報？

A.16.1.4 對資訊安全事件之評鑑及決策：應評鑑資訊安全事件，並決定是否將其歸類為資訊安全事故。
作者經驗分享：在面對稽核常被問到-有沒有對資訊安全事件的評估機制？是否明定對公司來說，什麼程度是事件，什麼程度是事故？

A.16.1.5 對資訊安全事故之回應：應依文件化程序，回應資訊安全事故。
作者經驗分享：在面對稽核常被問到-有沒有發生過資安事故？如果有的話，抽樣實際流程比確認皆符合相關要求

A.16.1.6 由資訊安全事故中學習：應使用獲自分析及解決資訊安全事故之知識，以降低未來事故之可能性或衝擊。
作者經驗分享：在面對稽核常被問到-事故發生後，是否從事件中學習，以降低未來事故之可能性或衝擊？

A.16.1.7 證據之收集：組織應定義及應用程序，以識別、收集、獲取及保存可用作證據之資訊。
作者經驗分享：在面對稽核常被問到-公司如何保全事故相關資訊的證據搜集？是否有評估聯繫外部單位協助證據保全的必要性？

本節於ISMS中常見對應文件名稱：資訊安全事故管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/