情報セキュリティ管理システム (ISMS) を確立、実装、維持、および継続的に改善するための要件を規定する ISO/IEC 27001:2022 によれば、コントロール A.7.2 では、組織が適切な物理的な入場コントロールを実装して、安全なエリアへの不正アクセスを防止することが求められています1。組織は、安全なエリアへのアクセス権の付与と取り消しの基準を定義して文書化し、そのようなアクセス権の使用を監視および記録する必要があります1。したがって、組織のコントロール A.7.2 の適用を監査する場合、ISMS 監査人は、監査基準に従ってこれらの側面が満たされていることを確認する必要があります。
上記のシナリオに基づき、監査人は、安全な領域が不正アクセスから適切に保護されていないため、コントロール A.7.2 に対して不適合を報告しなければなりません。監査人は、不適合について以下の証拠と正当性を示す必要があります。
証拠: 監査人は、センターの受付デスクから提供されたスワイプ カードと組み合わせ番号を使用して、2 人の外部請負業者が顧客のスイートにアクセスし、許可された電気修理を行っているのを観察しました。監査人は、顧客のスイートのドア アクセス記録を確認しましたが、スワイプされたカードは 1 枚のみでした。監査人は受付に問い合わせたところ、請負業者が 1 枚のカードをスワイプして、後ろから追いかけて入っていくのはよくある問題だが、受付のサインインから業者はわかっていると言われました。
根拠: この証拠は、組織が、管理 A.7.2 で要求されているように、安全なエリアへの不正アクセスを防止するための適切な物理的な入場管理を実施していないことを示しています。組織は、外部の請負業者にスワイプ カードと組み合わせ番号を提供するための検証または承認プロセスがないため、安全なエリアへのアクセス権を付与および取り消すための基準を定義および文書化していません。組織は、安全なエリアに入る前に各個人がカードをスワイプして組み合わせ番号を入力することを保証するメカニズムがないため、安全なエリアへのアクセス権の使用を監視および記録していません。組織は、受付のサインインを識別手段として頼っていますが、これは情報セキュリティを確保するには十分ではなく、信頼できません。
その他のオプションは、コントロールまたはその要件に関連していないか、不適合に対処するのに適切または効果的ではないため、コントロール A.7.2 を監査するための有効なアクションではありません。例:
何もしない: このオプションは、監査人が不適合を無視または受け入れることを意味するため無効です。これは、管理システムの監査に関するガイドラインを提供する ISO 19011:20182 の監査原則と目的に反します。
情報セキュリティ要件がサプライヤーと合意されていないため、コントロール A.5.20「サプライヤーとの関係における情報セキュリティへの対応」に対して不適合を報告します。このオプションは、サプライヤーとの関係ではなく物理的な入場管理に関連する不適合の根本原因に対処していないため無効です。コントロール A.5.20 では、情報資産にアクセス、処理、保存、通信、または IT インフラストラクチャ コンポーネントを提供する可能性のあるサプライヤーと情報セキュリティ要件に合意することが組織に求められています1。このコントロールはサプライヤーとの関係における情報セキュリティの確保に関連している可能性がありますが、外部請負業者によるセキュリティ保護領域への不正アクセスの問題には対処していません。
セキュア エリアでの作業に関するセキュリティ対策が定義されていないため、コントロール A.7.6「セキュア エリアでの作業」に対して不適合を報告します。このオプションは、セキュア エリアでの作業ではなく、物理的な入場管理に関連する不適合の根本原因に対処していないため無効です。コントロール A.7.6 では、組織がセキュア エリア1 での作業に関するセキュリティ対策を定義して適用することを要求しています。このコントロールは、セキュア エリアでの作業時に情報セキュリティを確保することに関連している可能性がありますが、外部請負業者によるセキュア エリアへの不正アクセスの問題には対処していません。
保護区域への個人のアクセスを確認するための追加の有効な手段（CCTV など）が実施されているかどうかを判断します。このオプションは、不適合に対処または解決するものではなく、その影響または可能性を軽減する可能性のある代替または補償制御を見つけようとするものであるため、有効ではありません。CCTV などの追加の手段は、保護区域への個人のアクセスを確認するのに役立つ場合がありますが、制御 A.7.2 で指定されている適切な物理的な入場制御の要件に取って代わるものではありません。
請負業者が安全な施設にアクセスするときは常に同伴する必要があるという改善の機会を提起する: このオプションは、不適合に対処または解決するものではなく、不適合の再発または重大性を防止または軽減できる可能性のある改善措置を提案するものであるため、有効ではありません。請負業者が安全な施設にアクセスするときは常に同伴することは、情報セキュリティを確保するための良い方法かもしれませんが、制御 A.7.2 で指定されている適切な物理的な入場制御の要件に代わるものではありません。
改善の機会として、受付に大きなサインを設置し、アクセスを必要とするすべての人が常にスワイプ カードを使用する必要があることを通知する: このオプションは、不適合に対処または解決するものではなく、既存の管理に対する認識またはコンプライアンスを向上させる可能性のある改善アクションを提案するものであるため、無効です。受付に大きなサインを設置し、アクセスを必要とするすべての人が常にスワイプ カードを使用する必要があることを通知することは、情報セキュリティを確保するための便利なリマインダーかもしれませんが、管理 A.7.2 で指定されている適切な物理的な入場管理の要件に取って代わるものではありません。
組織に、請負業者にアクセス カードを適切に使用する必要性を通知する書面を送付する必要があることを伝えます。このオプションは、不適合に対処または解決するものではなく、情報セキュリティの確保には効果的または十分ではない可能性のある是正措置を講じるように組織に指示するものであるため、無効です。請負業者にアクセス カードを適切に使用する必要性を通知する書面は、情報セキュリティを確保するためのコミュニケーション手段である可能性がありますが、コントロール A.7.2 で指定されている適切な物理的入場管理の要件に代わるものではありません。

ISMS の標準的な定義は、ビジネス目標を達成するために組織の情報セキュリティを確立、実装、運用、監視、レビュー、維持、改善するための体系的なアプローチです。この定義は ISO/IEC 27001:2022 の 3.17 項に記載されており、ISMS の主なコンポーネントと目的を説明しています。ISMS は継続的な改善を必要とする進行中のプロセスであるため、プロジェクトベースのアプローチではありません。ISMS は組織の目標をサポートする管理システムであるため、会社全体のビジネス目標ではありません。ISMS は組織の状況、リスク、管理、パフォーマンスを網羅するより広い概念であるため、情報セキュリティの体系的なアプローチではありません。参照: : CQI & IRCA ISO 27001:2022 主任監査員コース ハンドブック、15 ページ。 : ISO/IEC 27001:2022、3.17 項。

ISO/IEC 27002:2022 は、情報セキュリティ管理策の実践規範を提供する国際規格です4。実践規範とは、組織内で情報セキュリティを実装、維持、改善するためのガイドラインと推奨事項のセットです5。ISO/IEC 27002:2022 は、組織的、人的、技術的、物理的、環境的管理策など、情報セキュリティのさまざまな側面をカバーしています。ISO/IEC 27001:20224 に基づいて ISMS を確立するプロセス内で管理策を選択、実装、管理するためのリファレンスとして使用するように設計されています。参照: ISO/IEC 27002:2022、序文と概要、ISO/IEC 27000:2022、条項 3.10。