情報セキュリティ管理システム (ISMS) を確立、実装、維持、および継続的に改善するための要件を規定する ISO/IEC 27001:2022 によると、条項 4.1 では、組織は、その目的に関連し、ISMS の意図された成果を達成する能力に影響を与える外部および内部の問題を特定することが求められています2。外部の問題とは、法的、規制的、文化的、社会的、政治的、経済的、自然的、競争的要因など、組織外部から発生する問題です2。内部の問題とは、ガバナンス、構造、役割と責任、ポリシー、目的、文化、能力、リソース、情報システムなど、組織内部から発生する問題です2。したがって、この定義に基づくと、ISO/IEC 27001:2022 の管理システムのコンテキストにおける外部の問題の 4 つの例は、高インフレに対応した金利の上昇 (組織の経済環境に影響)、政府の政策変更の結果としての補助金の削減 (組織の政治的および法的環境に影響)、人口の高齢化の結果としての人件費の上昇 (組織の社会的および人口統計的環境に影響)、および政府の制裁による原材料の調達不能 (組織の貿易および供給環境に影響) です2。その他の選択肢は、組織内またはその活動から発生するため、内部の問題の例です。たとえば、研修費用の削減によるスタッフの能力レベルの低下（組織の能力とリソースに影響）、管理の不備による欠勤の増加（組織の文化とパフォーマンスに影響）、スタッフの休暇の削減による士気の低下（組織の従業員のモチベーションと満足度に影響）、旧式の生産設備に関連する生産性の低下（組織のプロセスの効率と品質に影響）などです2。参考文献：ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件

情報セキュリティ管理システム (ISMS) を確立、実装、維持、および継続的に改善するための要件を規定する ISO/IEC 27001:2022 によると、条項 4.2 では、組織は ISMS1 に関連する利害関係者のニーズと期待を判断する必要があります。これには、情報セキュリティ活動に適用される法律、規制、契約、およびその他の要件の特定が含まれます。したがって、ヘルスケア モニタリングのサービス要件が何であるかに関する証拠をさらに収集することは、監査の目的や基準に直接関連しないため、情報セキュリティ インシデント管理プロセスの検証には関連しない可能性があります。このオプションは監査証跡には含まれません。

ISO/IEC 27001:2022 の条項 8.2.1 によれば、組織は、情報および情報処理施設へのアクセスが、アクセス制御ポリシーに基づき、アクセス制御のビジネス要件に従って、許可されたユーザーに限定されることを保証する必要があります2。したがって、機密性の高いファイルへのアクセスは、業務上知る必要がある従業員のみに許可され、請負業者、非従業員、または NDA に署名した従業員には許可されません。参考資料: ISO/IEC 27001:2022 主任監査人 (情報セキュリティ管理システム) | CQI | IRCA

データの整合性とは、データの正確性と完全性を意味します。整合性は、機密性と可用性とともに、情報セキュリティの 3 つの主な目的の 1 つです。整合性により、情報やシステムが不正なアクションやイベントによって破損、変更、削除されないことが保証されます。データが常に表示可能であることは、整合性とは関係なく、可用性と関係があります。データが適切な人のみによってアクセス可能であることは、整合性とは関係なく、機密性と関係があります。参考文献: : CQI & IRCA ISO 27001:2022 Lead Auditor Course Handbook、24 ページ。 : [ISO/IEC 27001 Brochures | PECB]、4 ページ。