以下は情報セキュリティの基本要素の一つである「完全性」の目的です。

シナリオ 6: Sinvestment は、住宅保険、商業保険、生命保険を提供する保険会社です。同社はノースカロライナ州で設立されましたが、最近はヨーロッパやアフリカを含む他の地域にも拡大しています。
Sinvestment は、業界に適用される法律や規制を遵守し、情報セキュリティ インシデントを防止することに尽力しています。同社は ISO/IEC 27001 に基づく ISMS を実装し、ISO/IEC 27001 認証を申請しています。
認証機関は、監査を実施するために 2 人の監査員を任命しました。彼らは、Sinvestment との機密保持契約に署名した後、監査活動を開始しました。まず、ISMS 適用範囲の宣言、情報セキュリティ ポリシー、内部監査レポートなど、規格で要求されている文書をレビューしました。Sinvestment は文書化手順を整備していると述べましたが、すべての文書が同じ形式ではなかったため、レビュー プロセスは容易ではありませんでした。
次に、監査チームは、ISMS の導入における Sinvestment のトップマネジメントの役割を理解するために、Sinvestment のトップマネジメントと数回のインタビューを実施しました。第 1 段階の監査のすべてのアクティビティはリモートで実行されましたが、文書化された情報のレビューは Sinvestment の要請によりオンサイトで実施されました。
この段階で、監査人は情報セキュリティのトレーニングと意識向上プログラムに関する文書がないことを突き止めました。質問したところ、Sinvestment の代表者は、同社が全従業員に情報セキュリティのトレーニング セッションを提供していると述べました。第 1 段階の監査により、監査チームは Sinvestment の業務と ISMS について大まかな理解を得ることができました。
ステージ 2 監査は、ステージ 1 監査の 3 週間後に実施されました。監査チームは、マーケティング部門 (監査範囲に含まれていなかった) に従業員のアクセス権を制御する手順が整備されていないことを確認しました。従業員のアクセス権の制御は ISO/IEC 27001 要件の 1 つであり、会社の情報セキュリティ ポリシーに含まれていたため、この問題は監査レポートに含まれていました。さらに、ステージ 2 監査中に、監査チームは、Sinvestment がユーザー アクティビティのログを記録していないことを確認しました。
同社の手順では「ユーザーの活動を記録したログは保存し、定期的に確認する必要がある」と記載されていたが、同社はそのような手順を実施した証拠を提示しなかった。
すべての監査活動において、監査人は観察、インタビュー、文書化された情報のレビュー、分析、および技術的検証を使用して情報と証拠を収集しました。ステージ 1 と 2 のすべての監査結果が分析され、監査チームは認証の肯定的な推奨を発行することを決定しました。
シナリオ 6 に基づき、ステージ 1 監査中に、監査人は ISMS に関する一部の文書の形式が異なることを発見しました。この場合、監査人は何をすべきでしょうか?

ISO/IEC 27001 認証を受けた組織の範囲には、編集および Web ホスティング サービスを提供することが規定されています。ただし、組織内の変更により、Web ホスティング サービスに関連する技術サポートが外部委託されています。この場合、範囲の変更を開始する必要がありますか?

認証機関の監査プログラムを管理する個人との話し合いの中で、クライアント組織の管理システム代表者は、認証監査のための特定の監査員を要求します。監査プログラムを管理する個人がどのように応答すべきかについて、次のオプションから 2 つを選択します。

P2P ファイル共有やビデオ/オーディオ ストリーミングなど、インターネットを悪用した罪で逮捕された従業員は、そのような行為に対する警告は受けず、直接 IR を受けます。