説明
コンプライアンスとは、規則や基準に従う、または満たす状態または事実です1。情報セキュリティの文脈では、コンプライアンスとは、組織の情報資産に影響を与える適用法、規制、ポリシー、契約上の義務を遵守することを意味します2。コンプライアンスは、ISO/IEC 27001:2022に基づく情報セキュリティ管理システム（ISMS）の目的の1つであり、組織は、その範囲と運用に適用される関連する法律、規制、契約上の要件を特定して評価する必要があります3。参考文献：Oxford Languages、ISO/IEC 27000:2022、条項3.9、ISO/IEC 27001:2022、条項
6.1.3.

Explanation:
チャットのスクリーンショット 説明は自動的に生成されます

ISO/IEC 27001:2022 の要件に従った情報セキュリティリスク管理の正しいアクティビティの順序は次のとおりです。
1: 情報セキュリティリスク基準の作成と維持 2: 情報セキュリティ管理システムの計画時に考慮する必要があるリスクの特定 3: リスクが現実化した場合に発生する可能性のある結果の評価 4: 適切なリスク処理オプションの選択 5: 計画された間隔で情報セキュリティリスク評価の実行 6: リスク評価の結果とリスク処理計画のステータスをマネジメントレビューで検討 このシーケンスは、ISO/IEC に記載されている情報セキュリティリスク管理プロセスに基づいています。
27001:2022 条項 6.1 には、次のアクティビティが含まれます。
情報セキュリティリスク基準の確立と維持。
情報セキュリティリスク評価を繰り返し実施することで、一貫性があり、有効で比較可能な結果が得られることを保証すること、情報セキュリティリスクを特定すること、情報セキュリティリスクを分析すること、情報セキュリティリスクを評価すること、情報セキュリティリスクを処理すること、情報セキュリティリスクと残存する情報セキュリティリスクを受け入れること、プロセス全体を通じて利害関係者とコミュニケーションをとり、協議すること、情報セキュリティリスクとリスク処理計画を監視およびレビューすること。
参考文献:
ISO/IEC 27001:2022、条項6.1
[PECB候補者ハンドブック ISO/IEC 27001 主任審査員]、14-15ページ
わかりやすい英語で解説する ISO 27001 リスク管理

* A. 他のデータセンターが同じ通信グループに属していても、外部プロバイダーとして扱われていることを確認します。これは、ISO 27001:2022 の条項 8.1.4 で、組織は情報セキュリティ管理システムに関連する外部から提供されるプロセス、製品、またはサービスが管理されていることを確認する必要があるため適切です。外部から提供されるプロセス、製品、またはサービスとは、組織との関係の程度に関係なく、外部の当事者によって提供されるものです。したがって、同じ通信グループ内の他のデータセンターは外部プロバイダーとして扱われ、他の外部プロバイダーと同じ管理の対象となる必要があります12
* B. 外部プロバイダーが、製品やサービスの使用から生じるリスクを組織に通知するための文書化されたプロセスを備えていることを確認します。これは、ISO 8.1.4の条項に基づいて適切です。
27001:2022では、組織は外部プロバイダーとの情報セキュリティに関する適切な契約要件を実装する必要があります。契約要件の1つは、外部プロバイダーが、セキュリティインシデント、脆弱性、または組織に影響を及ぼす可能性のある変更など、製品またはサービスの使用から生じるリスクを組織に通知する義務です。
* 組織の情報セキュリティ。外部プロバイダーは、通知がタイムリーで正確かつ完全であることを保証するための文書化されたプロセスを備えている必要があります12
* E. 組織が外部プロバイダーのパフォーマンスを定期的に監視、レビュー、評価していることを確認します。これは、ISO 27001:2022 の条項 8.1.4 で、組織が外部から提供されるプロセス、製品、またはサービスのパフォーマンスと有効性を監視、レビュー、評価することを要求しているため適切です。組織は、外部プロバイダーの成果物と活動の適合性と適合性を測定および検証し、必要に応じてフィードバックと改善措置を提供するためのプロセスを導入する必要があります。組織は、監視、レビュー、評価の結果の記録も保持する必要があります12
* F. 組織がISMSに関して外部プロバイダーとコミュニケーションを取る必要性を判断していることを確認します。これは、ISO 27001:2022の条項7.4.2で、組織が情報セキュリティ管理システムに関連する内部および外部のコミュニケーションの必要性を判断すること、これには外部プロバイダーとのコミュニケーションも含まれるため適切です。組織は、そのようなコミュニケーションの目的、内容、頻度、方法、責任を定義し、それが情報セキュリティのポリシーと目的と一致していることを確認する必要があります。組織はまた、コミュニケーションの文書化された情報をその実施の証拠として保持する必要があります12 以下の活動は、ISOに従って外部プロバイダーを評価するのに適切ではありません。
27001:2022:
* C. 組織の情報の機密性、完全性、およびアクセス可能性の維持に重要であると特定された各プロセスについて、組織が予備の外部プロバイダーを持つようにします。 ISO 27001:2022 では、組織が各重要なプロセスに予備の外部プロバイダーを持つことを要求していないため、これは適切ではありません。 組織は、外部プロバイダーの障害または中断に備えて、緊急時対応計画またはバックアップ ソリューションを用意することを選択できますが、これは必須要件ではありません。 組織は、外部プロバイダーに関連するリスクと機会を評価し、適切な処理オプションを決定する必要があります。これには、予備の外部プロバイダーを持つことが含まれる場合と含まれない場合があります12
* D. 外部から提供される製品やサービスを監査する必要がないため、監査活動を外部から提供されるプロセスに限定します。これは適切ではありません。ISO 27001:2022 の条項 8.1.4 では、組織が情報セキュリティ管理システムに関連する外部から提供されるプロセス、製品、またはサービスを管理することが求められているためです。外部から提供される製品やサービスには、組織の情報セキュリティに影響を与える可能性のあるソフトウェア、ハードウェア、データ、またはクラウド サービスが含まれる場合があります。したがって、監査活動は、該当する場合、外部から提供されるプロセスと製品またはサービスの両方を対象とする必要があります12
* G. 私は、トップマネジメントが、外部 ISMS プロセスと内部 ISMS プロセスを提供する者の役割と責任を割り当てていることを確認します。これは適切ではありません。なぜなら、ISO 27001:2022 の条項 5.3 では、トップマネジメントが組織内の情報セキュリティ管理システムの役割と責任を割り当てることを要求しており、外部プロバイダーに割り当てることを要求していないからです。外部プロバイダーは、組織に提供するプロセス、製品、またはサービスに対する独自の役割と責任を割り当てる責任があります。組織は、外部プロバイダーが自分の役割と責任について十分な能力と認識を持ち、組織の情報セキュリティ要件に準拠する契約上の義務を負っていることを確認する必要があります12
* H. 私は、組織が外部プロバイダーをランク付けし、最も高い評価を受けたプロバイダーに作業の大部分を割り当てるようにします。これは、ISO 27001:2022では組織が外部プロバイダーをランク付けしたり、そのようなランク付けに基づいて作業を割り当てたりすることを要求していないため、適切ではありません。
* 組織は外部プロバイダのパフォーマンスと有効性を評価し比較することを選択できますが、これは必須要件ではありません。組織は、組織に関連する情報セキュリティ基準と目的に基づいて外部プロバイダを選択し、使用する必要があります12 参考文献:
1: CQIおよびIRCA認定トレーニングによるISO/IEC 27001:2022主任審査員（情報セキュリティ管理システム）コース1 2: PECBによるISO/IEC 27001主任審査員トレーニングコース2