本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.18 遵循性

A.18.1 對法律及契約要求事項之遵循：避免違反有關資訊安全之法律、法令、法規或契約義務，以及任何安全要求事項。
A.18.1.1 適用之法規及契約的要求事項之識別：對每個資訊系統及組織，應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項，以及組織為符合此等要求之作法。
作者經驗分享：在面對稽核常被問到-有沒有類似法令法規清單的文件可以檢視公司目前需符合哪些法令法規？這份清單目前是由誰在維護？多久更新一次？以及詢問公司為了符合法令法規的要求，目前做了什麼？比如說：增加資安經費以購置新設備/配置新人員...等

A.18.1.2 智慧財產權：應實作適切程序，以確保遵循與智慧財產權及專屬軟體產品使用相關之法律、法令、法規及契約的要求事項。
作者經驗分享：在面對稽核常被問到-公司目前對於軟體授權與智慧財產權符合做了什麼？目前在使用的軟體是否都有採購而非盜版？特別是抽樣時發現如有微軟作業系統畫面中出現“尚未啟用”等用字會被特別注意並加以詢問

A.18.1.3 紀錄之保護：應依法令、法規、契約及營運要求保護紀錄，免於遺失、毀損、偽造、未經授權存取及未經授權發布。
作者經驗分享：在面對稽核常被問到-公司現有對紀錄之保護建立了什麼保護措施？如何執行？如：常見的備份321有沒有做？或是有將資料進行異地備援？

A.18.1.4 個人可識別資訊之隱私及保護：應依適用之相關法令、法規中之要求，以確保個人可識別資訊之隱私及保護。
作者經驗分享：在面對稽核常被問到-有沒有辨別出目前需要符合的個人可識別資訊相關法令法規？如有，其對應的要求如何落實？有沒有評估導入PIMS個人資料管理制度的必要？

本節於ISMS中常見對應文件名稱：通常會合併在資訊安全組織實施管理辦法中進行要求

參考資料：
CNS 27001
https://www.cnsonline.com.tw/