情報セキュリティ管理システム (ISMS) を確立、実装、維持、および継続的に改善するための要件を規定する ISO/IEC 27001:2022 によれば、コントロール A.5.29 では、組織がビジネス継続管理プロセスを確立して維持し、破壊的なインシデントの後も必要なレベルで情報と情報システムの継続的な可用性を確保することが求められています1。組織は、重要な情報資産とプロセスを特定して優先順位を付け、破壊的なインシデントのリスクと影響を評価し、ビジネス継続計画 (BCP) を策定して実装し、BCP をテストしてレビューし、関係者が自分の役割と責任を認識していることを確認する必要があります1。したがって、ビジネス継続管理プロセスの情報セキュリティを検証する場合、ISMS 監査人は、監査基準に従ってこれらの側面が満たされていることを確認する必要があります。
制御 A.5.29 を検証するための監査証跡に含まれる 3 つのオプションは次のとおりです。
* 組織がモバイル デバイス上および在宅勤務中に情報セキュリティを管理する方法について、さらに証拠を収集する (コントロール A.6.7 に関連): このオプションは、スタッフがノート PC、タブレット、スマートフォンなどのモバイル デバイスを使用して自宅で作業する場合に、情報と情報システムの機密性、整合性、可用性を保護するために組織が適切なコントロールをどのように実装したかを示す証拠を提供できるため、関連しています。これは、組織が在宅勤務とモバイル デバイスの使用に関するポリシーと手順を確立することを要求するコントロール A.6.7 に関連しています1。
* ビジネス継続計画がどのように、いつテストされたかについてのさらなる証拠を収集する（関連事項）
* コントロール A.5.29): このオプションは、パンデミックなどのさまざまなシナリオに対する BCP の有効性と適合性を確認するために組織がどのように BCP をテストおよびレビューしたかの証拠を提供できるため、重要です。これは、計画された間隔で、または重大な変更が発生したときに組織が BCP をテストおよびレビューすることを要求するコントロール A.5.29 に関連しています1。
* 組織がどのようにして検査結果が陰性のスタッフのみが組織に入ることができるようにしているかについて、さらなる証拠を収集する (コントロール A.7.2 に関連): このオプションが関連しているのは、定期的なスタッフの自己検査の義務付けや健康状態アプリの使用など、スタッフや居住者の感染や病気の伝染のリスクを防止または軽減するために組織が適切なコントロールをどのように実装しているかについての証拠を提供できるためです。これはコントロール A.7.2 に関連しており、このコントロールでは、すべての従業員と請負業者が情報セキュリティの脅威と懸念、責任と賠償責任を認識し、この点で組織のポリシーと手順をサポートする準備ができていることを確認することを組織に要求しています1。
その他のオプションは、コントロールまたはその要件に関連していないため、コントロール A.5.29 の検証には関係ありません。例:
* より多くのスタッフに在宅勤務についての感想をインタビューして、より多くの証拠を収集する (条項 4.2 に関連): このオプションは、組織がビジネス継続管理プロセスを確立して維持した方法や、中断を伴うインシデント後に情報と情報システムの継続的な可用性を確保した方法の証拠を提供しないため、関連がありません。これは、組織が利害関係者のニーズと期待を理解することを要求する条項 4.2 に関連している可能性がありますが、A.5.29 の管理に特に関連しているわけではありません。
* 組織が在宅勤務スタッフをサポートするためにどのようなリソースを提供しているかについて、さらに証拠を収集する (条項 7.1 に関連): このオプションは、組織がビジネス継続管理プロセスを確立して維持した方法や、中断を伴うインシデント後に情報と情報システムの継続的な可用性を確保した方法の証拠を提供しないため、関連がありません。これは、組織が ISMS に必要なリソースを決定して提供することを要求する条項 7.1 に関連している可能性がありますが、制御 A.5.29 に特に関連しているわけではありません。
* 組織がビジネスリスク評価を実施して、既存の入居者が介護施設からどれだけ早く退院できるかを評価する方法について、さらに証拠を収集する (条項 6 に関連): このオプションは、組織がビジネス継続管理プロセスを確立して維持した方法や、中断を伴うインシデント後に情報と情報システムの継続的な可用性を確保した方法の証拠を提供しないため、関連がありません。これは、ISMS のリスクと機会に対処するための行動を計画することを組織に要求する条項 6 に関連している可能性がありますが、A.5.29 の管理に特に関連しているわけではありません。
参照: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件

Explanation:
コンピュータのスクリーンショット 説明は自動的に生成されました

* 情報源の特定（すでに提供済み）
* 監査証拠の収集: 文書、記録、インタビュー、観察など、さまざまな情報源から情報を収集します。
* 利用可能なデータのサンプリング: 利用可能な情報が膨大であるため、監査人は通常、サンプリング手法を使用して、より詳細な調査を行うための代表的なデータを選択します。
* 客観的証拠の検証: 収集された証拠の正確性、完全性、信頼性を確認します。
* 監査基準に対する証拠の評価: 監査人は収集した証拠を確立された基準 (標準、ポリシー、手順など) と比較して、コンプライアンスと有効性を評価します。
* 監査結果の記録: 観察、結論、推奨事項などの評価結果を文書化します。
* 監査結論の作成: 記録された調査結果に基づいて、監査人は管理システムの状態に関する全体的な結論を策定します。
したがって、正しい順序は次のようになります。
1. 情報源の特定 2. 監査証拠の収集 3. 利用可能なデータのサンプリング 4.
客観的証拠の検証 5. 監査基準に対する証拠の評価 6. 監査結果の記録 7.
監査結論の策定

説明
ケーブル配線のセキュリティは、情報を運ぶ電力、通信、ネットワーク ケーブルが傍受や損傷から保護されることに関連しています。この記述は真実です。ケーブル配線のセキュリティは、情報や情報処理施設への不正な物理的アクセス、損傷、干渉を防ぐことを目的とした物理的および環境的セキュリティの一部だからです。ケーブル配線のセキュリティには、電源ケーブル、電話ケーブル、ネットワーク ケーブルなど、あるデバイスまたは場所から別のデバイスまたは場所に情報を伝送するケーブルのセキュリティ保護が含まれます。ケーブル配線のセキュリティにより、ケーブルを切断、盗聴、曲げ、露出させるなどの物理的な手段による情報の盗聴、改ざん、中断、破壊を防ぐことができます。ISO/IEC 27001:2022 では、組織の情報および情報処理施設への不正な物理的アクセス、損傷、干渉を防ぐために、物理的および環境的セキュリティ管理策を実装することが求められています (条項 A.11 を参照)。参考資料: CQI および IRCA 認定 ISO/IEC 27001:2022 主任監査員トレーニング コース、ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、ケーブル配線セキュリティとは?

説明
ステップ 1 = インシデントのログ記録、ステップ 2 = インシデントの分類、ステップ 3 = インシデントの優先順位付け、ステップ 4 = インシデントの割り当て、ステップ 5 = タスクの作成と管理、ステップ 6 = SLA 管理とエスカレーション、ステップ 7 = インシデントの解決、ステップ 8 = インシデントのクローズ。情報セキュリティ インシデント管理プロセスの各段階の順序は、インシデント、イベント、弱点に対する迅速かつ効果的で秩序立った対応を保証する論理的なシーケンスに従う必要があります。また、順序は ISO/IEC 27001:2022 および ISO/IEC 27035:2022 で提供されるベスト プラクティスとガイダンスと一致している必要があります。したがって、次の順序が推奨されます。
ステップ 1 = インシデントのログ記録: このステップでは、日付、時刻、ソース、説明、影響、報告者など、潜在的なインシデント、イベント、または弱点の詳細を記録します。このステップは、インシデントの追跡可能な記録を提供し、その後の分析と対応を容易にするために重要です。このステップは、ISO/IEC 27001:2022 のコントロール A.16.1.1 に関連しており、組織は情報セキュリティ インシデント、イベント、および弱点の管理に関する責任と手順を確立する必要があります。このステップは、インシデント、イベント、および弱点を記録する方法に関するガイダンスを提供する ISO/IEC 27035:2022 の条項 6.2 にも関連しています。
ステップ 2 = インシデントの分類: このステップでは、ハードウェアの問題、ネットワークの問題、ソフトウェアの問題など、インシデント、イベント、または弱点の種類と性質を決定します。このステップは、インシデントを分類し、適切な解決者またはチームに割り当てるために重要です。このステップは、ISO/IEC 27001:2022 のコントロール A.16.1.2 に関連しており、組織は適切な管理チャネルを通じて情報セキュリティ イベントと弱点をできるだけ早く報告する必要があります。このステップは、インシデント、イベント、および弱点を分類する方法に関するガイダンスを提供する ISO/IEC 27035:2022 の条項 6.3 にも関連しています。
ステップ 3 = インシデントの優先順位付け: このステップでは、インシデント、イベント、または弱点の重大度と緊急性を評価し、それを重大、高、中、または低に分類します。このステップは、インシデントの優先順位付けと、対応に必要なリソースと時間を割り当てるために重要です。このステップは、ISO/IEC 27001:2022 のコントロール A.16.1.3 に関連しており、組織は定義された基準に従って情報セキュリティ イベントと弱点を評価し、優先順位付けする必要があります。このステップは、ISO/IEC 27035:2022 の条項 6.4 にも関連しており、インシデント、イベント、および弱点の優先順位付け方法に関するガイダンスを提供しています。
ステップ 4 = インシデントの割り当て: このステップでは、スキル、知識、可用性に基づいて、インシデント、イベント、または弱点を解決するのに最適な個人またはチームに渡します。
このステップは、インシデントが適切な担当者またはチームによって処理され、遅延や混乱を回避するために重要です。このステップは、ISO/IEC 27001:2022 のコントロール A.16.1.4 に関連しており、合意された手順に従って、組織が情報セキュリティ イベントと弱点にタイムリーに対応することを要求しています。このステップは、インシデント、イベント、弱点の割り当て方法に関するガイダンスを提供する ISO/IEC 27035:2022 の条項 6.5 にも関連しています。
ステップ 5 = タスクの作成と管理: このステップでは、根本原因分析の実行、ソリューションのテスト、変更の実装、アクションの文書化など、インシデント、イベント、または弱点を解決するために必要な作業を特定して調整します。このステップは、インシデントが効果的かつ効率的に解決され、アクションが追跡および制御されるようにするために重要です。このステップは、ISO/IEC 27001:2022 のコントロール A.16.1.5 に関連しており、組織は情報セキュリティ イベントと弱点から学んだ教訓を適用して、是正措置と予防措置を講じる必要があります。このステップは、インシデント、イベント、および弱点のタスクを作成および管理する方法に関するガイダンスを提供する ISO/IEC 27035:2022 の条項 6.6 にも関連しています。
ステップ 6 = SLA 管理とエスカレーション: このステップでは、解決策の実施中にサービス レベル契約 (SLA) が遵守されていることを確認し、違反の可能性がある、または違反が発生した場合に、インシデントを上位レベルの権限またはサポートにエスカレーションします。このステップは、合意された時間枠と品質内でインシデントが解決され、逸脱や問題が伝達され、対処されるようにするために重要です。このステップは、ISO/IEC 27001:2022 のコントロール A.16.1.6 に関連しており、組織は情報セキュリティ イベントと弱点を必要に応じて関連する内部および外部の関係者に伝達する必要があります。このステップは、ISO/IEC の条項 6.7 にも関連しています。
27035:2022 では、インシデント、イベント、弱点に対する SLA とエスカレーションの管理方法に関するガイダンスが提供されています。
ステップ 7 = インシデントの解決: このステップでは、一時的な回避策または永続的なソリューションを適用してインシデント、イベント、または弱点を解決し、情報および情報処理施設の通常の動作を復元します。このステップは、インシデントが完全に満足のいく形で解決され、情報セキュリティが望ましいレベルに復元されることを保証するために重要です。
このステップは、ISO/IEC 27001:2022 のコントロール A.16.1.7 に関連しており、組織は情報セキュリティ イベントと弱点の原因を特定し、それらの再発や発生を防ぐための措置を講じる必要があります。このステップは、インシデント、イベント、弱点を解決する方法に関するガイダンスを提供する ISO/IEC 27035:2022 の条項 6.8 にも関連しています。
ステップ 8 = インシデントのクローズ: このステップでは、インシデント、イベント、または弱点が適切に解決され、すべてのアクションが完了して文書化されたことを確認した後、インシデント、イベント、または弱点をクローズします。
このステップは、インシデントが正式に終了し、それ以上のアクションが必要ないことを確認するために重要です。このステップは、組織が証拠を収集し、情報セキュリティ イベントと弱点、および実行されたアクションを文書化することを要求している ISO/IEC 27001:2022 のコントロール A.16.1.8 に関連しています。このステップは、インシデント、イベント、および弱点を終了する方法に関するガイダンスを提供する ISO/IEC 27035:2022 の条項 6.9 にも関連しています。
参考文献:
ISO/IEC 27001:2022、情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件1 PECB候補者ハンドブック ISO/IEC 27001 主任監査人2 ISO 27001:2022 主任監査人 - PECB3 ISO 27001:2022 認定 ISMS 主任監査人 - Jisc4 ISO/IEC 27001:2022 主任監査人移行トレーニングコース5 ISO 27001 - 情報セキュリティ主任監査人コース - PwC トレーニングアカデミー6 ISO/IEC 27035:2022、情報技術 - セキュリティ技術 - 情報セキュリティインシデント管理

必要なサービスに応じて、法執行機関、規制機関、情報サービスプロバイダー、通信サービスプロバイダーとの連絡を維持する部門が CISO です。CISO は、最高情報セキュリティ責任者 (Chief Information Security Officer) の略です。CISO は、組織の情報セキュリティ戦略とガバナンスを監督する責任を負う上級管理職です。また、CISO は情報セキュリティ機能を主導し、他の部門や関係者と調整して、情報セキュリティに関連する法律、規制、標準への準拠を確保します。CISO は、情報セキュリティの問題を含むインシデントや調査が発生した場合に、組織と法執行機関やサービスプロバイダーなどの外部関係者との連絡役を務めることもあります。ISO/IEC 27001:2022 では、情報セキュリティの目標が確立され達成されるようにするために、組織がトップマネジメントの役割と責任を割り当てることを要求しています (条項 5.3 を参照)。参考資料: CQI および IRCA 認定 ISO/IEC 27001:2022 主任審査員トレーニング コース、ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、CISO とは?