説明
1. ISO/IEC 27001:2022のコピーを使用して、その要件が満たされているかどうかを確認する監査人:
用語: 監査基準の見直し。
理由: 監査人は、監査対象の情報セキュリティ管理システム (ISMS) を、ISO/IEC 27001:2022 規格で概説されている確立された基準と比較しています。このアクティビティは、適合性または不適合性を判断するための監査基準の使用に該当します。
2. 監査対象者がクリアデスクポリシーを遵守していないことを示す監査人のメモ:
用語: 監査結果の特定。
理由: 監査人は、監査対象者のクリアデスクに関する確立されたポリシーからの逸脱を観察しました。この観察は潜在的な不適合として文書化されており、さらなる調査と評価が必要です。
3. 監査人が監査対象者の基準への適合性に関して決定を下す場合:
用語: 監査結論を決定する。
根拠: 収集された監査証拠と確立された基準に対する評価に基づいて、監査人は監査対象の ISMS の全体的なコンプライアンスに関する意見を形成します。この意見が監査結論であり、監査レポートの重要な要素です。
4. 監査プロセスに関連する検証可能な記録を検査する監査人:
用語: 監査証拠の収集。
理由: 監査人は、調査結果と結論を裏付けるために、客観的かつ検証可能な情報を収集しています。この情報は、文書、記録、インタビュー、観察など、さまざまなソースから収集されます。

これら 3 つのオプションは、コントロールの要件と目的に合致しているため、コントロール 5.7 の有効な監査証跡を表しています。定義済みツールの Web 検索結果によると、コントロール 5.7 では、組織が情報セキュリティの脅威に関連する情報を収集して分析し、その情報を使用して緩和措置を講じることが求められています12。また、このコントロールでは、脅威インテリジェンスは関連性があり、知覚的で、状況に即しており、実行可能である必要があり、脅威を防止、検出、または対応するために使用される必要があることも指定されています34。
したがって、監査人は、組織が脅威インテリジェンスをどのように収集、分析、生成しているか、脅威インテリジェンスをどのように使用して情報資産を保護しているか、脅威インテリジェンスの仕組みの有効性をどのように監視および評価しているかを検証する必要があります。その他のオプションは、関連性がないか、不正確であるか、不完全であるため、有効な監査証跡ではありません。例:
*脅威インテリジェンスを作成するタスクは、組織の内部監査チームに割り当てられるのではなく、情報セキュリティマネージャーや情報セキュリティ委員会5など、ISMSの責任者またはチームに割り当てられます。
*組織のリスク評価プロセスは、効果的な脅威インテリジェンスから始まるのではなく、ISMS のコンテキスト、範囲、および目的の特定から始まります。脅威インテリジェンスは、リスクの特定と分析のための入力ですが、リスク評価プロセスの開始点ではありません。
* 経営陣に話をして、すべてのスタッフが脅威を報告することの重要性を認識していることを確認するだけでは、管理を監査するのに十分ではありません。組織が脅威インテリジェンスを収集、分析、生成する方法や、それを使用して緩和措置を講じる方法については触れられていないためです。監査人は、脅威インテリジェンス プロセスに関与するスタッフとも話をし、関連するドキュメントと記録を確認する必要があります。
*組織が完全に文書化された脅威インテリジェンス プロセスを備えているかどうかを確認するだけでは、プロセスの実装と有効性は検証されないため、コントロールを監査するには不十分です。監査人は、プロセスの実行を観察し、プロセスの出力と結果を調査する必要もあります。
* 脅威インテリジェンスの生成に内部および外部の情報源が使用されているかどうかを判断することは、制御の 1 つの側面のみをカバーするため、部分的な監査証跡となります。監査人は、情報源の品質、信頼性、関連性、および情報がどのように分析され、使用されているかについても評価する必要があります。
参照: = 1: ISO 27001:2022 付録 A 5.7 - 脅威インテリジェンス - ISMS.online12: ISO 27001 付録 A
5.7 脅威インテリジェンス - 高 表23: ISO/IEC 27001:2022 情報技術 - セキュリティ技術
- 情報セキュリティ管理システム - 要件、条項 A.5.74: ISO 27002 は脅威インテリジェンスの必要性を強調 - Rapid745: ISO/IEC 27007:2011 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム監査のガイドライン、条項 6.3.2。: ISO 27001 適用性ステートメント [2024 年更新] - Sprinto3: ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、条項 6.1.1。: ISO 27001 要件 6.1.1 - リスクと機会に対処するためのアクション | ISMS.online1

組織内の情報セキュリティの一貫性を保証するシステムの名前は、情報セキュリティ管理システム (ISMS) です。ISMS は、情報と情報資産の機密性、完全性、可用性を管理するための体系的なアプローチです。ISMS には、組織が情報セキュリティの目標を達成できるようにするポリシー、手順、プロセス、役割、責任、リソース、パフォーマンス測定が含まれます。ISMS には、組織が直面する情報セキュリティ リスクを特定して対処するリスク評価および処理プロセスも含まれます。ISO/IEC 27001:2022 は、組織のコンテキスト内で ISMS を確立、実装、維持、および継続的に改善するための要件を規定しています (条項 1 を参照)。参考資料: CQI および IRCA 認定 ISO/IEC 27001:2022 主任監査員トレーニング コース、ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、ISMS とは?

説明
重大な不適合の場合、フォローアップ監査を実施することができます。重大な不適合とは、組織の管理システムが意図した結果を達成する能力に重大な疑問を生じさせる状況であり、そのため、即時の是正措置が必要となるためです。フォローアップ監査は、是正措置の有効性と管理システムの適合性を検証するために必要です12。
不適合が軽微な場合は、フォローアップ監査を実施することができます。これは、軽微な不適合とは、マネジメント システムが意図した結果を達成する能力には影響しないものの、指定された要求事項からの逸脱を表す状況であるためです。フォローアップ監査は、是正処置の実施とマネジメント システムの改善を確認するために実施することができます12。
フォローアップ監査の結果は、トップマネジメントと、不適合が最初に特定された監査を実施した監査チームリーダーに報告する必要があります。これは、トップマネジメントが管理システムの有効性と継続的改善を確保する責任を負い、監査チームリーダーが監査プロセスと監査結論に責任を負うためです。フォローアップ監査レポートには、不適合の状態と被監査者が講じた是正措置に関する客観的な証拠が提供されるべきです13。
フォローアップ監査の結果は、監査プログラムを管理する個人と監査クライアントに報告する必要があります。これは、監査プログラムを管理する個人が監査活動の計画、実施、監視、およびレビューの責任を負い、監査クライアントが監査を依頼する組織または個人であるためです。フォローアップ監査レポートでは、フォローアップ監査の結果と、監査対象者の認証ステータスの変更について、彼らに通知する必要があります13。
参考文献 :
ISO 19011:2022 監査管理システムのガイドライン
ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 ISO/IEC 17021-1:2022 適合性評価 - 管理システムの監査および認証を提供する機関に対する要件 - パート 1: 要件

ISO/IEC 27001:2022 の 6.2 項によれば、情報セキュリティ目標とは、組織が情報セキュリティ管理システム (ISMS) で達成しようとする具体的な結果です。この規格では、情報セキュリティ目標が以下の基準を満たす必要があると規定されています。
適切に伝達される必要がある (A): 組織は、関係する内部および外部関係者に情報セキュリティの目的と、それを達成するための役割と責任について確実に知らせる必要があります。これにより、情報セキュリティに対する認識、コミットメント、説明責任が生まれます。この基準は、ISO/IEC 27001:2022 の条項 6.2.2 に関連しています。
文書化された情報として利用可能である必要があります (B): 組織は、情報セキュリティの目的に関する文書化された情報 (範囲、レベル、指標、および時間枠を含む) を維持し、保持する必要があります。これにより、情報セキュリティの証拠、追跡可能性、および一貫性を提供できます。この基準は、ISO/IEC 27001:2022 の条項 6.2.1 に関連しています。
情報セキュリティポリシーと一致している必要があります (G): 組織は、情報セキュリティの目的が情報セキュリティポリシーと一致していることを確認する必要があります。情報セキュリティポリシーは、組織の情報セキュリティに対する意図と方向性を最高レベルで表明したものです。これにより、組織の戦略目標と状況をサポートできます。この基準は、ISO/IEC の条項 5.2 に関連しています。
27001:2022。
達成可能でなければなりません (H): 組織は、利用可能なリソース、機能、制約を考慮して、情報セキュリティの目標が現実的かつ達成可能であることを保証する必要があります。これにより、非現実的または実現不可能な期待を設定することを回避し、情報セキュリティの進捗状況とパフォーマンスを監視および測定することができます。この基準は、ISO/IEC 27001:2022 の条項 6.2.1 に関連しています。
参考文献:
ISO/IEC 27001:2022、情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件1 PECB候補者ハンドブック ISO/IEC 27001 主任監査人2 ISO 27001:2022 主任監査人 - PECB3 ISO 27001:2022 認定 ISMS 主任監査人 - Jisc4 ISO/IEC 27001:2022 主任監査人移行トレーニングコース5 ISO 27001 - 情報セキュリティ主任監査人コース - PwC トレーニングアカデミー6