監査対象者は、すべての是正措置がどのように実施されるかについての詳細な情報を含む行動計画を提出する必要があります。一般的な記述だけでは不十分です。不適合の根本原因が効果的に対処されるように、行動計画では是正措置を詳細に指定する必要があります。
参照: ISO/IEC 27001:2013、条項 10.1 (一般) および ISO 19011:2018、管理システム監査のガイドライン。

Explanation:
監査結果とは、収集された監査証拠を監査基準に照らして評価した結果です。

説明
ファーストパーティ監査は、組織のスタッフまたは請負業者が ISMS の適合性と有効性をチェックする内部監査です。認証機関の監査員と認定機関の監査チームは、認証または認定を目的として監査を実施する外部監査員です。
彼らはファーストパーティ監査ではなく、サードパーティ監査に参加します。参考資料: ファーストパーティ監査とセカンドパーティ監査 - 運用サービス、ISO 27001 監査プロセス | ブログ | OneTrust、ISO 27001 監査プロセス | 初心者向けガイド - IAS USA

説明
このオプションは、ISMS12 を含む管理システムの監査に関するガイドラインを提供する ISO 19011 規格の要件であるため、最終会議の議題に含めるのに適しています。この規格では、監査チーム リーダーは、監査範囲、アクセス、またはサンプリングの制限など、監査中に遭遇した、監査結論の信頼性を低下させる可能性のある状況について、監査対象者に通知する必要があると規定されています3。また、この規格では、監査は監査時に利用可能な情報のサンプルに基づいており、監査は監査対象の管理システムの適合性または有効性について絶対的な保証を提供するものではないという声明を監査報告書に含める必要があると規定されています4。したがって、監査チーム リーダーは、監査対象者に監査の性質と制限を通知し、誤解や誤った期待を避けるために、最終会議の議題に免責事項を含める必要があります。その他のオプションは、無関係、不正確、または不完全であるため、最終会議の議題に含めるのに適していません。
例えば：
*認証機関の苦情処理プロセスの詳細な説明は、監査の所見や結論とは関係がないため、最終会議の議題には関係ありません。認証機関の苦情処理プロセスは、監査合意書または契約書5の一部として、監査前に監査対象者に伝えられる必要があります。
*監査計画とその目的の説明は、監査開始会議または監査前に行うべきであり、閉会会議の議題には適していません。監査計画とは、監査の範囲、目的、基準、方法論、監査スケジュール、監査チーム、監査場所、監査成果物について説明する文書です。監査計画は、事前に監査対象者に伝達して合意を得る必要があり、変更や逸脱があれば監査中に通知する必要があります。
*不適合に関連する監査対象者の名前は、不適合の詳細や証拠を提供しないため、最終会議の議題には不完全です。監査チームリーダーは、各不適合の説明、監査基準、監査証拠、監査結論、監査推奨事項を含む監査結果を提示する必要があります。監査チームリーダーは、個人の名前を挙げたり非難したりすることは避け、プロセスとシステムに焦点を当てる必要があります。
参照: = 1: PECB候補者ハンドブック - ISO/IEC 27001主任審査員、222ページ: ISO 19011:2018 マネジメントシステムの監査に関するガイドライン、第13項: ISO 19011:2018 マネジメントシステムの監査に関するガイドライン、第6.4.94項: ISO 19011:2018 マネジメントシステムの監査に関するガイドライン、第7.5.25項: ISO/IEC
17021-1:2015 適合性評価 - マネジメントシステムの監査および認証を行う機関に対する要求事項 - パート 1: 要求事項、9.8 項。 : ISO 19011:2018 マネジメントシステムの監査のためのガイドライン、6.4.1 項。 : ISO/IEC 27007:2011 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム監査のためのガイドライン、6.2.1 項。 : ISO 19011:2018 マネジメントシステムの監査のためのガイドライン、6.4.2 項。 : ISO 19011:2018 マネジメントシステムの監査のためのガイドライン、6.4.10 項。 : ISO/IEC 27007:2011 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム監査のためのガイドライン、6.3.3 項。

説明
ISO 27001:2022 の条項 8.1.4 によれば、組織は、情報セキュリティ管理システムに関連する外部から提供されるプロセス、製品、またはサービスが管理されていることを確実にする必要があります。これには、ICT 機器を回収に送る顧客などの外部プロバイダーとの情報セキュリティに関連する適切な契約要件の実装が含まれます12 この場合、組織は ICT 回収サービスを提供しており、これには機密情報や秘密情報が含まれている可能性のある顧客の ICT 機器の処理が含まれます。組織は、顧客の ICT 機器が安全に、かつ顧客の情報セキュリティ要件に従って取り扱われることを確実にするためのプロセスを導入する必要があります。プロセスには、顧客の身元と権限の確認、機器の在庫と状態の確認、機器または顧客に関する情報が記載されているラベルやステッカーの除去または破棄、機器に保存されているデータのワイプまたは消去、実行したアクションと達成した結果の文書化などの手順を含める必要があります12 監査人が、サーバーの名前、IP アドレス、管理者パスワードを示すステッカーが貼られた 2 台のサーバーがベンチ上にあることに気付いたという事実は、顧客の IT セキュリティに関連する入荷品の処理プロセスが効果的でないか、または遵守されていないことを示しています。これにより、顧客の情報またはシステムへの不正アクセス、開示、または変更のリスクが生じる可能性があります。したがって、監査人は監査の発見事項を記録し、顧客の IT セキュリティに関連する入荷品の処理プロセスを確認し、ISO 27001:2022 の条項 8.1.4 に不適合があるかどうかを判断する必要があります12 その他のアクションは、次の理由により適切ではありません。
* A. ICT マネージャーに情報セキュリティ インシデントの記録と情報セキュリティ インシデント管理プロセスの開始を依頼することは、組織自身の情報やシステムに影響を与える情報セキュリティ インシデントではないため、適切ではありません。情報セキュリティ インシデントとは、ビジネス オペレーションを危険にさらし、情報セキュリティを脅かす可能性の高い、単一または一連の望ましくないまたは予期しない情報セキュリティ イベントと定義されます12。この場合、情報セキュリティ イベントは組織の情報やシステムではなく、顧客の情報やシステムに影響を与えます。したがって、組織は情報セキュリティ インシデント管理のプロセスではなく、顧客の IT セキュリティに関連する入荷品の取り扱いのプロセスに従う必要があります。
* C. 監査人が監査結果で確認した内容を記録するだけで、それ以上の措置を講じないことは、問題の根本原因や影響に対処することにはならないため、適切ではありません。監査人は、組織の情報セキュリティ管理システムの有効性とコンプライアンスを検証し、不適合や改善の機会を報告する責任があります12。したがって、監査人は、顧客の IT セキュリティに関連する入荷品の取り扱いプロセスを確認し、ISO 27001:2022 の条項 8.1.4 に不適合があるかどうかを判断する必要があります。
* D. 管理策 5.31 の法律、法令、規制および契約上の要求事項に対して不適合を提起することは、この管理策が問題に関連していないため、適切ではありません。管理策 5.31 では、組織が情報セキュリティ管理システムに適用される法律、法令、規制および契約上の要求事項を特定し、遵守することを要求しています12 この場合、問題は、組織が法律、法令、規制および契約上の要求事項に準拠しているかどうかではなく、情報セキュリティ管理システムに関連する外部から提供されるプロセス、製品、またはサービスに対する組織の管理に関するものです。したがって、監査人は、顧客の IT セキュリティに関連する入荷品の取り扱いプロセスを確認し、ISO 27001:2022 の条項 8.1.4 に不適合があるかどうかを判断する必要があります。
* E. 管理策 8.20「ネットワーク セキュリティ」(ネットワークおよびネットワーク デバイスは、システムおよびアプリケーション内の情報を保護するために、セキュリティ保護、管理、および制御される必要があります) に対して不適合を提起することは、この管理策が問題に関連していないため、適切ではありません。管理策 8.20 では、組織がシステムおよびアプリケーション内の情報を保護するために、独自のネットワークおよびネットワーク デバイスをセキュリティ保護、管理、および制御することを要求しています12 この場合、問題は組織のネットワーク セキュリティに関するものではなく、情報セキュリティ管理システムに関連する外部から提供されるプロセス、製品、またはサービスに対する組織の管理に関するものです。したがって、監査人は、顧客の IT セキュリティに関連する入荷品の取り扱いプロセスを確認し、ISO 27001:2022 の条項 8.1.4 との不適合があるかどうかを判断する必要があります。
* F. ラベルを剥がして監査を続行するよう監査対象者に求めることは、問題の根本原因や影響に対処するものではないため適切ではありません。監査人は、監査中に監査対象の業務に干渉したり、是正措置を提案したりすべきではありません。監査人の客観性と公平性を損なうことになるからです12 監査人は、入ってくるラベルを処理するプロセスを確認する必要があります。
* 顧客のITセキュリティに関連する出荷を確認し、条項に違反しているかどうかを判断する
ISO 27001:2022 の 8.1.4。
参考文献:
1: CQIおよびIRCA認定トレーニングによるISO/IEC 27001:2022主任審査員（情報セキュリティ管理システム）コース1 2: PECBによるISO/IEC 27001主任審査員トレーニングコース2