マネジメントシステムの監査に関するガイドラインを提供する ISO 19011:2018 によれば、条項 6.7 では、監査チーム リーダーがフォローアップ監査を実施し、前回の監査で特定された不適合に対応して監査対象者が講じた是正措置の実施状況と有効性を検証することが求められています1。フォローアップ監査は、初回監査と同じ原則とプロセスに従って実施する必要があり、不適合の状態と残っている問題に関する結論を出す必要があります1。
したがって、フォローアップ監査を実施する場合、ISMS 監査人は次のアクションを考慮する必要があります。
* 未解決の軽微な不適合を次回のサーベイランス監査で対処することを推奨する: この処置は、被監査者が重大な不適合を含むほとんどの不適合を解消し、未解決の軽微な不適合が 1 つだけ残っているという事実を反映しているため適切です。軽微な不適合とは、ISO/IEC 27001:2022 の 1 つ以上の要件を達成できなかったこと、または ISMS プロセスが意図した出力を達成する能力について重大な疑問を抱かせるものの、全体的な有効性や適合性には影響しない状況と定義されます2。したがって、この発見は、合理的な時間枠内に適切な是正措置によって対処される限り、認証の継続を妨げたり排除したりすることはありません。監査人は、未解決の軽微な不適合を次回のサーベイランス監査で対処することを推奨する必要があります。サーベイランス監査は、認証機関が ISMS の継続的な適合性と有効性を確認するために実施する定期監査です3。
* 残りの不適合をどのように、いつまでに解消し、その解消を検証するかについて、被監査者/監査クライアントと合意する: この措置は、被監査者が前回の監査で特定された不適合に対する是正措置を実施する意欲と能力を示したという事実を反映しているため、適切です。監査人は、明確な期限と検証方法を含め、残りの不適合に対する現実的で達成可能かつ効果的な是正措置計画について、被監査者/監査クライアントと合意する必要があります。また、監査人は、フォローアップ監査レポート1 にこの合意内容を文書化する必要があります。
* 監査プログラムを管理する担当者に、未解決の不適合に関する決定を通知する: この措置は、監査人がフォローアップ監査の実施と報告に体系的かつ一貫したアプローチをとったという事実を反映しているため適切である。監査人は、未解決の不適合に関する決定を監査プログラムを管理する担当者に通知する必要がある。
* 不適合の是正、例えば次回の監査で是正することを推奨したり、監査対象者/監査クライアントと是正措置計画に合意したりすること。監査人は、その決定を裏付ける十分な情報と証拠も提供する必要があります1。
* 組織が指摘された不適合を解消することに取り組んでいることを示したため、フォローアップ監査を終了する: この処置は、組織がフォローアップ監査で満足のいく結果を達成したという事実を反映しているため適切です。組織は、指摘された不適合のほとんどに対して効果的な是正措置を実施し、残りの 1 つに対しては計画に合意することで、指摘された不適合を解消することに取り組んでいることを示したため、監査人はフォローアップ監査を終了する必要があります。また、監査人はフォローアップ監査の結論を被監査者/監査クライアントおよびその他の関連当事者に伝える必要があります 1。

説明
定性リスク分析は、シナリオと状況に基づいて、起こりうる脅威の主観的な見解を生み出す分析です。定性リスク分析では、正確な統計的確率計算や正確な損失見積りは使用せず、リスクアナリストと利害関係者の経験、直感、判断に依存します。定性リスク分析では、高、中、低などの説明的なスケールを使用して、リスクの可能性と影響をランク付けできます。定性リスク分析は、特にデータや時間が限られている場合に、リスクを特定して優先順位を付けるのに役立ちます。ISO/IEC 27001:2022 では、定性リスク分析を「イベントと状況に基づくシナリオを使用するリスク分析」と定義しています (条項 3.35 を参照)。参考文献: [CQI および IRCA 認定 ISO/IEC 27001:2022 主任監査員トレーニング コース]、ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、定性リスク分析とは?

是正処置とは、発生した、または発生する可能性のある不適合やインシデントの根本原因を特定して排除し、再発や発生を防ぐプロセスです。是正処置は ISO 27001 の改善要件の一部であり、修正と是正処置の特定、評価、実装、レビュー、文書化という標準ワークフローに従います。参考資料:
ISO 27001 要件 10.1 の是正処置、不適合および是正処置の手順、PECB 候補者ハンドブック ISO 27001 主任審査員 (12 ページ)

説明
ISO 27001:2013 の条項 5.2 によれば、組織のトップマネジメントは、組織の目的に適しており、情報セキュリティ目標を設定するためのフレームワークを提供する情報セキュリティポリシーを確立、実装、維持する必要があります。情報セキュリティポリシーには、適用される法律、規制、契約上の要件、および組織が同意するその他の要件に準拠するというコミットメントも含まれている必要があります。したがって、規制コンプライアンスの維持は、管理システムポリシーの履行と、その有効性と適合性の確保の一部です。参考資料:
ISO/IEC 27001:2013、情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、条項 5.2 PECB 候補者ハンドブック ISO 27001 主任監査人、10 ページ ISO 27001 ポリシー: ISO 27001 に従って記述する方法