本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.17 營運持續管理之資訊安全層面

A.17.1 資訊安全持續：資訊安全持續應嵌入組織之營運持續管理系統中。
A.17.1.1 規劃資訊安全持續：組織應決定其對資訊安全之要求事項，以及於不利情況下 (例: 危機或災難期間)， 對資訊安全管理之持續性要求事項。
作者經驗分享：在面對稽核常被問到-有沒有任何能證明/佐證公司對資訊安全之要求事項與對資訊安全管理之持續性要求事項？常見可落實在資訊安全政策中有沒有提及公司對營運持續的規劃

A.17.1.2 實作資訊安全持續組織應建立、文件化、實作及維持過程、程序及控制措施，以確保不利情況期間所要求之資訊安全持續等級。
作者經驗分享：在面對稽核常被問到-有沒有資訊安全營運持續對應的管理程序文件？

A.17.1.3 查證、審查並評估資訊安全持續：組織應定期查證所建立及實作之資訊安全持續控制措施，以確保其於不良情況期間係生效及有效。
作者經驗分享：在面對稽核常被問到-公司現有對資訊安全的營運持續建立了什麼控制措施？如何執行？如：資訊安全營運持續相關的量測指標？營運持續演練？

A.17.2.1 資訊處理設施之可用性：應對資訊處理設施實作充分之多重備援，以符合可用性要求。
作者經驗分享：在面對稽核常被問到-有沒有多重備援機制？是否實作演練？有沒有演練紀錄？演練紀錄是否有檢討情形？

本節於ISMS中常見對應文件名稱：營運持續安全管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/