説明
ISO 27001:2022 の条項 4.3 によれば、組織は、内部および外部の問題、利害関係者の要件、および他の組織とのインターフェースと依存関係を考慮して、情報セキュリティ管理システム (ISMS) の範囲を決定する必要があります12 この場合、ISMS の範囲は、ヘルスケアのモニタリングと居住者のデータの分析のための人工知能 (AI) クラウド サーバーをホストするアウトソーシングされたデータ センターをカバーしています。したがって、ISMS の範囲を確認するために見つける必要のある監査証拠には、次のものが含まれている必要があります。
* 監査対象者は、医療サービスと患者データの取り扱いに関する政府当局のニーズと期待を特定しています。これは、監査対象者が医療サービスと患者データの品質、安全性、プライバシーに関する関連法規制を遵守する必要があるため、ISMSの範囲に影響を与える外部の問題であり、利害関係者の要件です12
* 監査対象者は、居住者の個人データをどのように保護すべきかについて、居住者のニーズと期待を特定しています。これは、電子リストバンドとAIクラウドサーバーによって収集、処理、保存される居住者の個人データの機密性、完全性、可用性を監査対象者が保証する必要があるため、ISMSの範囲に影響を与える外部の問題であり、利害関係者の要件です12
* 人工知能 (AI) クラウド サーバーが設置されているデータ センターとの IT サービス契約。これは、ISMS の範囲に影響を与える別の組織とのインターフェイスおよび依存関係です。監査対象者は、ISMS に関連する外部提供のプロセス、製品、およびサービスを管理し、情報セキュリティに関連する適切な契約要件を実装する必要があるためです。12 次のオプションは、ISMS の範囲を検証するのに関連しないか、十分ではありません。
* 監査対象者は、施設と環境の安全性に関する居住者のニーズと期待を特定しました。
これは外部の問題であり、利害関係者の要件ですが、情報セキュリティとは関係がないため、ISMSの範囲には影響しません12
* 監査対象者はISO 9001認証を取得しています。これは監査対象者の品質管理システムの指標ですが、情報セキュリティとは関係がないため、ISMSの範囲を検証するものではありません12
* 監査対象者は、居住者の快適な設備、医療専門家の能力、清潔な環境に対するニーズと期待を特定しました。これらは外部の問題であり、利害関係者の要件ですが、情報セキュリティとは関係がないため、ISMSの範囲には影響しません12
* 監査対象者は、居住者の医療サービスに対するニーズと期待を特定しました。これらは外部の問題であり、利害関係者の要件ですが、情報セキュリティに固有のものではないため、ISMSの範囲を検証するものではありません12
* 監査対象者は、外部のソフトウェア会社からヘルスケアモニタリングアプリの購入を検討しています。これは、将来的にISMSの範囲に影響を与える可能性のある潜在的な変更ですが、まだ実装または管理されていないため、ISMSの現在の範囲を確認するものではありません12 参考文献:
1: CQIおよびIRCA認定トレーニングによるISO/IEC 27001:2022主任審査員（情報セキュリティ管理システム）コース1 2: PECBによるISO/IEC 27001主任審査員トレーニングコース2

説明
人的管理は、役割と責任、認識とトレーニング、スクリーニングと契約、リモート ワークなど、情報セキュリティの人的側面に関連しています。トレーニング中の監査人は、次の管理を確認する必要があります。
* 機密保持契約および非開示契約（A）：これは、組織の従業員および請負業者が取り扱う情報、特に外部クライアントのデータの機密性を保護することを義務付ける契約上の義務です。監査人は、これらの契約が組織によって署名、更新、および施行されているかどうかを確認する必要があります。この管理は、ISO/IECの条項A.7.2.1に関連しています。
27001:2022。
* 情報セキュリティの意識、教育、トレーニング: これらは、情報セキュリティに関する従業員と請負業者の知識、スキル、行動を向上させることを目的とした活動です。監査人は、これらの活動が組織によって計画、実装、評価、改善されているかどうかを確認する必要があります。この管理は、ISO/IEC 27001:2022 の条項 A.7.2.2 に関連しています。
* リモート ワークの取り決め (D): 自宅や公共の場など、組織の敷地以外の場所で作業する際の情報セキュリティの側面を管理するポリシーと手順です。監査人は、これらの取り決めが組織によって定義、承認、監視されているかどうかを確認する必要があります。この管理は、ISO/IEC 27001:2022 の条項 A.6.2.1 に関連しています。
* 職員の確認チェックの実施（E）：機密情報にアクセスする従業員や請負業者の身元、資格、適性を確認する背景調査です。
* 情報またはシステム。監査人は、これらのチェックが組織によって実施され、文書化され、レビューされているかどうかを確認する必要があります。このコントロールは、ISO/IEC 27001:2022 の条項 A.7.1.1 に関連しています。
参考文献:
* ISO/IEC 27001:2022、情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件
* PECB候補者ハンドブック ISO/IEC 27001主任審査員、1
* ISO 27001:2022 主任監査員 - IECB、2
* ISO 27001:2022認定ISMS主任監査人 - Jisc、3
* ISO/IEC 27001:2022 主任審査員移行トレーニングコース、4
* ISO 27001 - 情報セキュリティ主任監査人コース - PwCトレーニングアカデミー、5

Explanation:
監査結果を決定するには、監査証拠を監査基準に照らして評価する必要があります。
* 監査証拠とは、監査人が監査プロセス中に入手した情報であり、監査意見または結論を形成するための基礎として使用されます12。監査証拠には、記録、文書、声明、観察、インタビュー、またはテスト結果が含まれます12。
* 監査基準とは、監査証拠を比較するための基準として使用される一連のポリシー、手順、標準、規制、または要件です12。監査基準は、ISO 標準、業界のベスト プラクティス、法的義務などの内部または外部の情報源から導き出される可能性があります12。
* 監査結果とは、監査証拠を評価し、それを監査基準13と比較するプロセスの結果です。監査結果では、監査基準が満たされている (適合) か、満たされていない (不適合) かが示されます。また、ベスト プラクティスや改善の機会を特定することもできます13。
参考文献 :
* ISO 19011:2022 監査管理システムのガイドライン
* ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件
* 監査結果の構成要素 - 内部監査人協会

説明
機密性は、情報セキュリティの機密性、完全性、可用性 (CIA) 原則の 1 つであり、情報資産には許可された当事者のみがアクセスできる必要があります。機密性は、情報の秘密とプライバシーを不正な開示や露出から保護します。ハッカーが Web サーバーにアクセスしてクレジットカード番号を含むファイルを閲覧した場合、ハッカーは許可された当事者ではなく、他人の機密情報にアクセスできるため、機密性原則に違反します。したがって、正解は B です。参考文献: ISO/IEC 27000:2022、条項 3.8、セキュリティ原則の定義 - Pearson IT Certification。

情報セキュリティ管理システム (ISMS) を確立、実装、維持、および継続的に改善するための要件を規定する ISO/IEC 27001:2022 によれば、条項 7.2 では、組織は、ISMS パフォーマンスに影響する管理下で作業を行う人の必要な能力を判断し、必要な能力を獲得または維持するためにトレーニングを提供するか、その他の措置を講じる必要があります1。管理 A.6.3 では、組織は、すべての従業員と請負業者が情報セキュリティの脅威と懸念、責任と賠償責任を認識し、この点で組織のポリシーと手順をサポートする準備ができていることを確認する必要があります2。したがって、ISMS 監査人が情報セキュリティ インシデント トレーニングの有効性を改善できると判断した場合、これは条項 7.2 と管理 A.6.3 に関連する改善の機会 (OFI) を示しています。
ISO/IEC 27001:2022 によれば、条項 9.1 では組織が ISMS のパフォーマンスと有効性を監視、測定、分析、評価することが求められています1。コントロール A.5.24 では組織が情報セキュリティ イベントと弱点を報告するための手順を定義して適用することが求められています2。したがって、ISMS 監査人がサンプリング インタビューの結果に基づいて、インタビュー対象者の誰も担当者の役割と責任を含むインシデント管理手順の報告プロセスを説明できなかったと判断した場合、これは条項 9.1 とコントロール A.5.24 に準拠していない不適合 (NC) を示しています。
その他のオプションは、与えられた情報に基づいて監査結果を準備するための正しいオプションではありません。たとえば、情報セキュリティの弱点、イベント、およびインシデントが報告されている場合、これは条項 9.1 およびコントロール A.5.24 に準拠しているため、不適合はありません。情報セキュリティの取り扱いトレーニングが実施され、その有効性が評価されている場合、これは条項 7.2 およびコントロール A.6.3 に準拠しているため、不適合はありません。情報セキュリティ インシデント トレーニングが失敗しても、これは必ずしも条項 7.2 またはコントロール A.6.3 への適合の欠如を示すとは限らないため、不適合はありません。情報セキュリティの弱点、イベント、およびインシデントが報告されている場合、これはすでに条項 9.1 およびコントロール A.5.24 に準拠しているため、改善の機会はありません。参照: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、ISO/IEC 27002:2013 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理の実施規範