* B. この条項は、組織がISMSに関連する利害関係者と、これらの利害関係者の要求事項を決定することを要求しています12。この条項は、組織がISMSの適用範囲に影響力を持つ利害関係者や、ISMSの適用範囲に影響を及ぼす利害関係者を特定するのに役立つため、ISMSの適用範囲の検証に関連しています。
* 顧客、サプライヤー、規制当局、従業員など、組織の情報セキュリティに関心を持つ人々。組織は、ISMS の範囲を定義する際にこれらの利害関係者のニーズと期待も考慮し、それらが満たされ、伝達されるようにする必要があります。
* E. この条項では、情報セキュリティ目標を設定し、情報セキュリティ活動を導くための枠組みを提供する情報セキュリティポリシーを組織が確立することを要求しています13。この条項は、組織がISMSの方向性と原則を定義し、それらを組織の戦略目標と状況に合わせるのに役立つため、ISMSの範囲の検証に関連しています。情報セキュリティポリシーはISMSの範囲と一致している必要があり、組織内および関連する利害関係者に伝達され、理解される必要があります。
* F. この条項では、組織の目的と状況に関連し、ISMS14 の意図された成果を達成する能力に影響を与える内部および外部の問題を組織が特定することを要求しています。この条項は、法的、技術的、社会的、経済的、環境的など、組織の情報セキュリティに影響を与える要因と条件を組織が理解するのに役立つため、ISMS の範囲の検証に関連しています。組織はこれらの問題を監視およびレビューし、ISMS の範囲を定義するときに考慮する必要があります。
* H. この条項では、組織が ISMS の境界と適用範囲を決定してその適用範囲を確立することを要求しています15。この条項は、組織が ISMS に含まれる情報とプロセスを説明し、明確かつ簡潔な方法で適用範囲を文書化するのに役立つため、ISMS の適用範囲の検証に関連しています。組織は、ISMS の適用範囲を決定する際に、条項 4.1、4.2、および 4.3 で特定された問題、要件、およびインターフェースも考慮し、適用範囲が組織の性質と規模に適切であることを確認する必要があります。
参考文献:
1: PECB候補者ハンドブック - ISO 27001主任審査員、17ページ 2: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、条項
4.2 3: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、条項5.2 4: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、条項4.1 5: ISO/IEC
27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、条項 4.3

管理システムの監査および認証を提供する機関の要件を規定する ISO/IEC 17021-1:2015 によると、条項 9.4.9 では、認証機関は監査中に取得した情報およびその他の関連情報に基づいて認証の決定を下す必要があります1。認証機関は、監査中に特定された不適合に対処するために被監査者が行った是正措置の有効性も考慮する必要があります1。したがって、監査プログラム マネージャーに推奨を行う際、ISMS 監査人は不適合の性質と重大性、および提案された是正措置を考慮する必要があります。
上記のシナリオに基づいて、監査人は、提案された是正措置計画を承認した後、認証を推奨し、1 年後の監視監査で発見事項を解決できることを推奨する必要があります。監査人は、推奨の根拠として次のものを提供する必要があります。
根拠: この推奨は、被監査者に軽微な不適合が 2 件、改善の機会が 1 件あるのみであり、ISMS の重大なまたは体系的な失敗を示すものではないという事実を反映しているため適切です。軽微な不適合とは、ISO/IEC 27001:2022 の 1 つ以上の要件を達成できなかったこと、または ISMS プロセスが意図した出力を達成できるかどうかについて重大な疑問が生じるものの、全体的な有効性や適合性には影響しない状況と定義されます2。改善の機会とは、ISO/IEC 27001:2022 で要求されている以上の改善の提案と定義されます2。したがって、これらの発見事項は、適切な是正措置によって妥当な時間枠内に対処される限り、認証を妨げたり排除したりすることはありません。監査人は、認証を推奨する前に、提案された是正措置計画を承認し、それが現実的で、達成可能で、効果的であることを確認する必要があります。監査人はまた、是正措置が実施され、意図したとおりに機能していることを確認するために、1 年後の監視監査で発見事項を終了できることを推奨する必要があります。
その他のオプションは、特定のシナリオに対して緩すぎるか厳しすぎるため、監査プログラム マネージャーにとって有効な推奨事項ではありません。例:
直ちに認証を推奨する: このオプションは、監査人が不適合を無視または受け入れることを意味し、ISOの監査原則と目的に反するため無効です。
19011:20182 は、管理システムの監査に関するガイドラインを提供しています。また、これは、認証機関が認証の決定を行う前に、被監査者が行った是正措置の有効性を考慮することを要求する ISO/IEC 17021-1:20151 の要件にも矛盾しています。
6か月以内に全範囲の再監査が必要であることを推奨する: このオプションは、監査人が不適合に対して過剰反応したり誇張したりすることを示唆しており、ISO 19011:20182の監査原則と目的に反しているため、有効ではありません。また、ISO/IECの要件にも反しています。
17021-1:20151 では、認証機関が不適合の性質と範囲、およびその他の関連要因に基づいて再監査が必要かどうかを判断することが求められています。フルスコープの再監査は通常、ISMS の深刻または広範囲にわたる不適合を示す重大な不適合または複数の軽微な不適合に対して行われます。
予告なしの監査を将来の日にちで実施することを推奨する: このオプションは、監査人が被監査者の是正措置を実施する取り組みまたは能力を信用していない、または疑って​​いることを示唆しており、ISO 19011:20182 の監査原則および目的に反しているため、無効です。また、これは ISO/IEC 17021-1:20151 の要件にも反しています。この要件では、ISMS に重大な問題の兆候がある場合や、セクター固有のスキームによって要求される場合など、特定の条件下でのみ認証機関が予告なしの監査を実施することが求められています。
3 か月以内に部分監査が必要であることを推奨する: このオプションは、監査人が是正処置の検証に特定の時間枠または範囲を課すか規定することを意味しており、ISO 19011:20182 の監査原則および目的に反しているため無効です。また、これは ISO/IEC 17021-1:20151 の要件にも反しています。この要件では、認証機関が不適合の性質と範囲、およびその他の関連要因に基づいて部分監査が必要かどうかを判断することが求められています。軽微な不適合には部分監査が適切である可能性がありますが、時間枠と範囲は、提案された是正処置計画に基づいて、監査対象者と合意する必要があります。
参照: ISO/IEC 17021-1:2015 - 適合性評価 - マネジメントシステムの監査および認証を提供する機関に対する要求事項 - パート 1: 要求事項、ISO 19011:2018 - マネジメントシステムの監査に関するガイドライン

説明
ISO 27001:2022 の条項 9.1.2 によれば、組織は計画された間隔で内部監査を実施し、情報セキュリティ管理システムが組織自身の要件、ISO 27001:2022 の要件に準拠しているかどうか、また効果的に実装および維持されているかどうかに関する情報を提供しなければなりません。12 ISO 27001:2022 の条項 10.1 によれば、組織は不適合に対応し、必要に応じてそれらを制御および修正し、結果に対処するための措置を講じなければなりません。組織はまた、再発や発生を防ぐために、不適合の原因を排除するための措置の必要性を評価しなければなりません。
組織は、必要な措置を実施し、講じた是正措置の有効性をレビューし、必要に応じて情報セキュリティ管理システムに変更を加えなければならない12。フォローアップ監査は、前回の監査後に実施される内部監査の一種であり、不適合および是正措置が対処され解決されたかどうか、および情報セキュリティ管理システムが改善されたかどうかを検証するものである12。したがって、フォローアップ監査計画を準備する場合、次のことが当てはまります。
* 検証は、実施された措置が完了しているかどうかに焦点を当てるべきです。つまり、監査人は、組織が不適合を修正し防止するために計画されたすべての措置を実施したかどうか、また、その措置が文書化され、要求どおりに伝達されたかどうかを確認する必要があります12
* 検証は、実施された措置が効果的に実施されたかどうかに焦点を当てる必要があります。つまり、監査人は、組織が措置の意図された結果と目的を達成したかどうか、また、措置によって不適合とその原因および結果が排除または軽減されたかどうかを確認する必要があります。12 フォローアップ監査計画の作成に関して、以下の記述は誤りです。
* 検証は、実施された措置が効率的に実施されたかどうかに焦点を当てるべきです。これは誤りです。なぜなら、効率性は、不適合および是正措置に対処するために講じられた措置を検証するための基準ではないからです。効率性とは、望ましい結果を達成するためのリソースの最適な使用を指しますが、ISO 27001:2022の要件ではありません。監査人は、措置の有効性と完全性に焦点を当てるべきであり、効率性に焦点を当てるべきではありません12
* 最初に是正措置を検証し、次に是正措置、最後に改善の機会を検証する必要があります。これは誤りです。是正措置、是正措置、改善の機会を検証する順序は規定されていないからです。監査人は、順序や優先順位に関係なく、組織が行ったすべての措置を検証する必要があります。監査人は、関連性、重要性、または影響に基づいて措置を検証することを選択できますが、これは必須要件ではありません12
* 改善の機会を最初に検証し、次に修正、最後に是正措置を検証する必要があります。これは誤りです。改善の機会、修正、是正措置を検証する順序は規定されていないためです。監査人は、順序や優先順位に関係なく、組織が行ったすべての措置を検証する必要があります。監査人は、関連性、重要性、または影響に基づいて措置を検証することを選択できますが、これは必須要件ではありません12
* 最初に是正措置をレビューし、次に修正、最後に改善の機会をレビューする必要があります。これは誤りです。是正措置、修正、改善の機会をレビューする順序は規定されていないためです。監査人は、順序や優先順位に関係なく、組織が行ったすべての措置をレビューする必要があります。監査人は、関連性、重要性、または影響に基づいて措置をレビューすることを選択できますが、これは必須要件ではありません12 参考文献:
1: CQIおよびIRCA認定トレーニングによるISO/IEC 27001:2022主任審査員（情報セキュリティ管理システム）コース1 2: PECBによるISO/IEC 27001主任審査員トレーニングコース2

ファーストパーティ監査とは、組織自身または組織に代わって外部の当事者が実施する内部監査です。ファーストパーティ監査の目的は次のとおりです。12
* 管理システムの範囲が正確であることを確認します。つまり、組織の情報セキュリティの目的と要件に関連するすべてのプロセス、活動、場所、および機能をカバーしていることを確認します。
* 管理ポリシーを更新します。つまり、監査結果とフィードバックに基づいて、情報セキュリティ管理システム (ISMS) のポリシーステートメント、役割と責任、目的と目標をレビューおよび改訂します。
その他のフレーズは、ファーストパーティ監査の目的ではありませんが、次のようになります。
* 国際基準の適用: これはISMSの要件であり、監査の目的ではありません。ISMSはISO/IEC 27001規格およびその他の適用可能な規格または規制に準拠する必要があります12
* 認証機関向けの監査報告書の作成: これは、第一者監査ではなく、第三者監査の活動です。第三者監査は、ISMSの適合性と有効性を検証し、コンプライアンス証明書を発行するために独立した認証機関によって実施される外部監査です12
* 監査を期限内に完了する: これはパフォーマンス指標であり、監査の目的ではありません。監査は
* 計画された期間と予算内で完了する必要があるが、これは監査の主な目的ではない12
* 規制要件の適用: これは ISMS の要件であり、監査の目的ではありません。ISMS は、情報セキュリティに関する組織の法的義務と契約上の義務に準拠する必要があります12 参考文献:
1: CQIおよびIRCA認定トレーニングによるISO/IEC 27001:2022主任審査員（情報セキュリティ管理システム）コース1 2: PECBによるISO/IEC 27001主任審査員トレーニングコース2

ここで説明したシナリオはフィッシング攻撃の典型的な例です。フィッシング攻撃は、電子通信で攻撃者が信頼できる組織を装うソーシャルエンジニアリングの脅威の一種です。目的は、個人を騙して機密情報を提供させることです。これは、攻撃者が個人情報に不正アクセスしようとするため、不正なアクションタイプの脅威です。参考文献: = フィッシングを脅威として理解することは、情報セキュリティ管理システムの原則と一致しており、フィッシング攻撃とその防止について説明するリソースによってサポートされています。