説明
監査方法とは、監査人が監査証拠を収集および評価するために使用する技術と手順です。
監査方法は、人間とのやり取りを伴うものと伴わないものの 2 つのカテゴリに分類できます。人間とのやり取りを伴う方法は、インタビュー、アンケート、調査、観察、ウォークスルーなど、監査対象者また​​はその他の関係者との直接または間接的なコミュニケーションを必要とする方法です。人間とのやり取りを伴わない方法は、文書レビュー、データ分析、リモート監視など、監査対象者また​​はその他の関係者とのコミュニケーションを必要としない方法です。
人間の介入を必要としない監査方法の例は次のとおりです。
監査の準備として監査対象者の手順のレビューを実行する: この方法では、ポリシー、プロセス、記録、レポートなどの監査対象者の文書化された情報を調べて、監査基準を満たす上での妥当性と有効性を検証します。監査人は、この方法を実行するために監査対象者や他の誰かとやり取りする必要はありません。
監査対象者のサーバーにリモート アクセスしてデータを分析する: この方法では、パフォーマンス インジケーター、ログ、メトリック、統計などの監査対象者のデータにアクセスして処理し、監査基準を満たす正確性と信頼性を検証します。監査人は、この方法を実行するために監査対象者や他のユーザーとやり取りする必要はありません。
参考文献:
ISO/IEC 27001:2022 主任監査人（情報セキュリティ管理システム）の目標と内容（Quality.org および PECB より） ISO 19011:2018 管理システム監査のガイドライン [セクション 6.2.2]

説明
各説明を適切なリスク用語と一致させる正解は次のとおりです。
特定の情報セキュリティ リスクに対応するために選択された戦略: これは、情報セキュリティ リスク処理の定義です。ISO/IEC 27000:2022 によると、情報セキュリティ リスク処理とは、「情報セキュリティ リスクを修正するための対策を選択して実装するプロセス」です (セクション 3.33)。
情報セキュリティ目標に対する不確実性の影響: これは情報セキュリティ リスクの定義です。ISO/IEC 27000:2022 によれば、情報セキュリティ リスクとは「情報セキュリティ目標に対する不確実性の影響」のことです (セクション 3.32)。
情報セキュリティリスクを評価するための要件: これは情報セキュリティリスク基準の定義です。ISO/IEC 27000:2022によれば、情報セキュリティリスク基準は「情報セキュリティリスクの重要性を評価するための参照条件」です。セクション
3.31.
許容可能と見なされる情報セキュリティ リスクの全体的なレベルの定義: これは、情報セキュリティ リスクの受け入れ基準の定義です。ISO/IEC 27000:2022 によると、情報セキュリティ リスクの受け入れ基準は「許容可能な情報セキュリティ リスクのレベル」セクション 3.30 です。

管理システム監査のガイドラインである ISO 19011:2018 によれば、サンプリング計画とは、定義された母集団から監査証拠の代表的なサブセットを選択する方法です1。サンプリング計画には、主要なプロセス、活動、およびコントロールを網羅することで ISMS を適切に理解できる、時間とリソースの使用を最適化することで監査計画を効率的に実施できる、サンプルが十分で信頼性が高く偏りがないことを保証することで監査結果に信頼性があるなど、監査にとっていくつかの利点があります1。したがって、これら 3 つのオプションは、監査にサンプリング計画を使用する利点の例です。その他のオプションは利点ではなく、サンプリング計画を使用することの欠点またはリスクです。たとえば、監査人の直感を無視すると、サンプリング計画でカバーされていない重要な証拠や問題を見逃す可能性があります。連続した監査で同じ計画を使用すると、監査結果の有効性と妥当性が低下する可能性があります。また、不十分または不適切なサンプリング計画が原因で重要な問題が見逃される可能性があります1。参照: ISO 19011:2018 - マネジメントシステムの監査に関するガイドライン

能力成熟度モデル (CMM) は、効果的なソフトウェア プロセスの重要な要素を説明するフレームワークです。ソフトウェア開発組織の成熟度を、初期から最適化まで 5 つのレベルに定義します。CMM は、組織が現在のプロセス能力レベルを評価し、改善すべき領域を特定するのに役立ちます1。参考資料: ISO/IEC 27001:2022 Lead Auditor - IECB