前面几章都在谈对於稽核相关的要求，再来我们要来谈到 ISO 27001:2013 年版的框架。

ISO 27001：2013资讯安全管理系统

图片来源：资安人
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7348

由上图可以很清楚各章的每个阶段的主要目标：计划(Plan)、执行(Do)、检查(Check)、改善(Act)
对应到主要的标准，快速用三句以内来做重点整理：

0.前言

• 版本宣告
• 兼容其他 ISO 体系

1.适用范围

• 标准宣告适用所有组织，且不得排除标准 4 - 10 节任何要求事项。

2.引用标准

• 参考引用相关标准：CNS 27000 资讯技术－ 安全技术－ 资讯安全管理系统－ 概观及词汇

3.用语标准

• 名词定义

= = = = = = = = = = ． = = = = = = = = = = ． = = = = = = = = = =

4. 组织全景(Plan)

• 高层访谈
• 资讯安全管理系统(ISMS) 目的、范围

5. 领导作为(Plan)

• 高层访谈
• 组织架构

6. 规划(Plan)

• 资讯安全风险识别、分析、评估，产出风险处理计画
• 适用性声明
• 有效性量效之指标

7. 支援(Plan)

• 人事任用、教育训练
• 政策宣达
• 文件化资讯控制管理

= = = = = = = = = = ． = = = = = = = = = = ． = = = = = = = = = =

8. 运作(Do)

• 风险评监
• 风险处理

9. 绩效评估(Check)

• 有效性量测指标
• 内部稽核

稽核

为获得证据并对其进行客观地评估，以确定满足稽核准则的程度所进行有系统化的、独立性及文件化的过程。

稽核七大准则

• 诚信：职业精神的基础
• 公平陈述：公正客观、准确地报告稽核结果
• 职业素养：勤奋与判断力在稽核中的运用 (经历应该 3 - 5 年)
• 保密性：资讯安全
• 独立性：稽核的公正性和稽核结论的客观性
• 基於证据的方法：稽核证据需可被验证、合理获得、可靠 & 可重现的稽核结论的方法
• 基於风险的方法：考虑风险和机会的稽核方法

独立性：不能稽核曾经从事过或是参与过的专案。
一致性：参照政策、程序或稽核相关的其他要求，并做比较，以寻求客观证据，如：稽核查检表。
= = = = = = = = = = ． = = = = = = = = = = ． = = = = = = = = = =

10. 改善(Act)

• 针对内部稽核、管理审查或是追踪事项是否有效改善