トライアドとは、情報セキュリティの 3 つの要素、機密性、完全性、可用性を指します3。テクノロジーは、情報を不正なアクセス、変更、損失から保護するためのさまざまな制御と対策を実装する手段を提供するため、この 3 つを結び付ける接着剤です3。参考資料: ISO/IEC 27001:2022 主任審査員トレーニング コース - BSI

ソーシャル エンジニアリングとは、ユーザーの信頼を操作したり弱点を突いたりして、第三者がユーザーから機密情報を取得する状況を作り出すことを含む手法です。ソーシャル エンジニアリングには、フィッシングメール、電話、なりすまし、おとりなど、さまざまな形があります。ソーシャル エンジニアリングは、技術的な防御ではなく人的要因を標的とするため、情報セキュリティに対する一般的な脅威です。参照: : CQI & IRCA ISO 27001:2022 主任監査人コースハンドブック、26 ページ。 : ISO/IEC 27001 主任監査人 - PECB、13 ページ。

ISO/IEC 27001 主任監査人のための PECB 候補者ハンドブックによると、被監査者は、ISO/IEC 27001:20221 の条項 6.1.3.e に対する不適合に応じて、次の措置を講じる必要があります。
これが第 6.1.3.e 項の主な要件であり、リスク処理プロセスの目的であるため、該当する各コントロールに対して適切なリスク処理を実装します2。
これはリスク処理プロセスの予想される成果であり、リスクに基づく決定の証拠であるため、適用声明の関連内容を修正して除外を正当化します3。
3 つのコントロールに関連するリスク評価プロセスを再検討します。これは、リスク処理プロセスへの入力であり、リスクとコントロールを特定するための情報源となるからです4。
他のオプションは次の理由により正しくありません。
監査チームは 3 つの統制の実施に関する証拠が存在しないことをすでに発見しているため、統制が実施されていることを監査人に証明する証拠を提出する責任を割り当てることは有効な行動ではありません。
統制に関連するリスクを定期的に評価するための計画を作成することは、有効な行動ではありません。これは、リスクの監視およびレビューのプロセスの一部であり、リスクの処理プロセスではないからです5。
管理のための書面による手順を組織のセキュリティ マニュアルに組み込むことは、有効な措置ではありません。これは、リスク処理プロセスではなく、ISMS の文書化と運用の一部であるためです。
適用声明から 3 つのコントロールを削除することは、それらの除外を正当化する十分な理由ではなく、リスク治療プロセスを反映していないため、有効な措置ではありません。
顧客に管理が必要かどうかを調べるために顧客の調査を行うことは、組織独自の状況と目的に基づいている必要があるリスク評価と治療プロセスに関連する基準ではないため、有効な行動ではありません。
参考資料: 1: ISO/IEC 27001 主任監査人のための PECB 候補者ハンドブック、36 ページ、セクション 4.5.22:
ISO/IEC 27001:2022、条項 6.1.3.e3: ISO/IEC 27001:2022、条項 6.1.3.f4: ISO/IEC 27001:2022、条項
6.1.25: ISO/IEC 27001:2022、6.2 項。: ISO/IEC 27001:2022、第 7.5 項および第 8 項。: ISO/IEC 27001:2022、第 6.1.3.d 項。: ISO/IEC 27001:2022、4.1 項および 4.2 項。

機密保持は、監査を実施する際に監査人が遵守すべき監査実施の原則の 1 つです。機密保持とは、監査人が職務上取得した情報の使用と保護について裁量権を行使する必要があることを意味します3。監査人は、被監査者および監査に関与するその他の当事者の知的財産権を尊重する必要があり、被監査者またはその他の権限のある当事者からの事前の承認なしに、機密情報、専有情報、または機密情報を開示してはなりません3。また、監査人は監査中にカメラや記録機器を使用する前に被監査者の許可を得るべきです。これらの機器は機密情報を取得したり、個人のプライバシーを侵害したりする可能性があります3。したがって、これら 2 つのオプションは、監査における機密保持の機能を正確に示しています。他のオプションは不正確であるか、機密性とは無関係です。たとえば、監査人は、監査における機密保持を規制上の要件によって強制されるのではなく、倫理的義務と契約上の取り決めによって強制されます3。監査チームの観察者は、機密保持契約に署名し、被監査者から許可を受けていれば、機密情報にアクセスできます3。監査情報は、機密性が損なわれたり、他の利益と衝突したりしない場合に限り、監査人による個人の能力を向上させるために使用できます3。監査人には常にガイドが同行するため、ガイドが信頼できない場合、またはそのような情報へのアクセスを許可されていない場合には、被監査者の機密情報に対するリスクが依然として存在します3。参考: ISO 19011:2018 - マネジメントシステム監査のガイドライン

監査方法は、監査人が監査証拠を入手するために使用する手法です。監査方法は、人間の介入を伴うものとそうでないものの 2 つのカテゴリに分類できます。人間の相互作用を伴う監査方法では、インタビュー、アンケート、調査、会議など、監査人と被監査者またはその他の関係者との間の直接のコミュニケーションが必要です。人間の相互作用を含まない監査方法は、観察、検査、測定、テスト、口頭または書面でのやり取りを必要としないサンプリング、分析など2. したがって、監査の準備として手順の独立したレビューを実行したり、監査結果に対する被監査者の反応をレビューしたりすることは、被監査者またはその他の情報源から提供された文書を読んで評価する必要があるため、人的介入を伴う監査方法の例となります。一方、被監査者のサーバーにリモートアクセスしてデータを分析したり、遠隔監視により作業を観察したりする方法は、被監査者や他の関係者との直接のコミュニケーションを必要とせず、人的介入を伴わない監査手法の例です。参考資料: ISO/IEC 27001:2022 主任監査人 (情報セキュリティ管理システム) | CQI | IRCA