本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.18 遵循性

A.18.1 對法律及契約要求事項之遵循：避免違反有關資訊安全之法律、法令、法規或契約義務，以及任何安全要求事項。
A.18.1.5 密碼式控制措施之監管：應使用密碼式控制措施，以遵循所有相關協議、法律及法規。
作者經驗分享：在面對稽核常被問到-如公司適用的法規上有要求對加密機制，就要依法規實施，如：金融單位使用硬體加密器(HSM)，在設備的報廢或汰除時，要依規定進行處理其加密晶片。

A.18.2 資訊安全審查：確保依組織政策及程序，實作及運作資訊安全。
A.18.2.1 資訊安全之獨立審查：應依規劃之期間或當發生重大變更時，獨立審查組織對管理資訊安全之作法及其實作 (亦即資訊安全之各項控制目標、控制措施、政策、過程及程序)。
作者經驗分享：在面對稽核常被問到-公司最近一次進行資訊安全之獨立審查(俗稱管審會)是什麼時候？有沒有會議簡報與會議記錄可以確認？並對會議中的審查內容進行標準的輸入輸出確認

A.18.2.2 安全政策及標準之遵循性：管理人員應以適切之安全政策、標準及所有其他安全要求事項，定期審查其責任範圍內之安全處理及程序的遵循性。
作者經驗分享：在面對稽核常被問到-審查內容有沒有包含資訊安全政策？會議中檢視了什麼樣的指標以確認資訊安全管理體系運作的完善？

A.18.2.3 技術遵循性審查：應定期審查資訊系統對組織之資訊安全政策及標準的遵循性。
作者經驗分享：在面對稽核常被問到-審查內容有沒有包含量測指標以確認資訊安全管理體系運作的完善？內部稽核的執行結果？安全檢測報告的追蹤情形？

本節於ISMS中常見對應文件名稱：通常會合併在資訊安全組織實施管理辦法中進行要求

參考資料：
CNS 27001
https://www.cnsonline.com.tw/