第三者監査に割り当てられる日数は、監査対象者の空き時間ではなく、監査の範囲、目的、基準、リスク、リソースを考慮した監査プログラムによって決まります12。監査対象者の空き時間は、監査の計画とスケジュールに影響を与える要因の 1 つに過ぎず、監査期間には影響しません3。
オンサイト監査の実施を承認された監査員は、必要なスキルセットに大きな違いがあるため、仮想監査のための追加トレーニングを受ける必要があります。仮想監査では、コミュニケーション、テクノロジー、セキュリティ、証拠収集など、オンサイト監査とは異なる課題と機会が伴います4。監査員は、リモート監査を実施するためのツールとテクニック、および仮想環境で期待される倫理的かつ専門的な行動に精通している必要があります。参考文献:
PECB 候補者ハンドブック - ISO 27001 主任審査員、18 ページ
ISO 19011:2018、マネジメントシステムの監査に関するガイドライン、条項 5.3.2 ISO 19011:2018、マネジメントシステムの監査に関するガイドライン、条項 6.3.1 Deloitte - 仮想内部監査の実施、ページ 1
[効果的かつ効率的なリモート監査を実施するためのガイド]、1ページ
[ISO 19011:2018、監査マネジメントシステムのガイドライン]、7.2.3項
[リモート監査のベストプラクティスと規制遵守のチェックリスト]、1 ページ

このシナリオは、ABC 社が、保存されている情報の分類スキームに一致するリムーバブル ストレージ メディアの管理手順を実装しているため、適合性を示しています。情報が「機密」として分類されている場合は、より厳格な手順が適用されますが、「公開」情報の場合は、組織で定義された情報分類ポリシーに従って、手順は整合性と可用性のみに焦点を当てています。
参照: ISO/IEC 27001:2013、条項 A.8.2 (情報分類)

ISO/IEC 27001:2022 の条項 8.1 によれば、組織は情報セキュリティ要件を満たすために必要なプロセスを計画、実装、および制御し、条項 6.1 で決定されたアクションを実装する必要があります。組織は、アウトソーシングされたプロセスが制御または影響を受けることも保証する必要があります。
管理 A.5.24 によれば、組織は情報セキュリティ イベントと弱点の報告を含む情報セキュリティ インシデント管理プロセスを確立し、維持する必要があります。したがって、機密文書やメディアを安全に廃棄するために低グレードのマシンを使用すると、重大な情報セキュリティ リスクやクライアントとの契約違反の可能性があります。監査人は、この情報に対して次のように対応する必要があります。
A. 認証前に追加の監査を実施するよう推奨する事項があれば、監査プログラムを管理する担当者に通知します。これは、監査チーム リーダーが、監査結論または認証決定に重大な影響を与える可能性のある状況を認証機関に報告し、監査計画に必要な変更を提案しなければならないと規定している ISO/IEC 27006:2022 の条項 7.4.3 に準拠しています。
C. 明らかになった追加情報に基づいて、4 週間以内に後続の監査の必要性を検討します。これは、監査チーム リーダーが監査結果と監査中に収集されたその他の適切な情報を確認して監査結論を決定し、後続の監査の必要性を特定しなければならないと規定している ISO/IEC 27006:2022 の条項 7.5.2 に準拠しています。
G. 特定の状況では低グレードの機械が使用されていることを監査対象者とともに確認します。これは、監査チーム リーダーが監査が監査計画に従って実施され、計画の変更が合意され文書化されていることを確認する必要があると規定している ISO/IEC 27006:2022 の条項 7.4.2 に準拠しています。
その他のオプションは、情報を無視したり、監査の範囲を超えたり、十分な証拠がないまま不適合を時期尚早に提起したりするため、適切な対応ではありません。例:
B. 監査レポートの作成をキャンセルし、代わりに組織と顧客との契約を確認し、低グレードのマシンの使用を許可したかどうかを判断します。これは、監査プロセスと認証決定を遅らせ、ISMS 監査の範囲外の文書を確認することになるため、適切な対応ではありません。監査人は、低グレードのマシンの使用に関連する情報セキュリティリスク評価および処理プロセスと情報セキュリティインシデント管理プロセスの検証に重点を置く必要があります。
D. 何もしません。すべての監査はサンプルに基づいて行われますが、取得したサンプルには、下位グレードのマシンの計画されたレビューは含まれていませんでした。これは、監査の結論と認証の決定に影響を与える可能性のある重大な情報セキュリティ リスクと潜在的な不適合を無視するため、適切な対応ではありません。監査人は、従業員から提供された情報をフォローアップし、その有効性と影響を確認する必要があります。
E. 認証監査期間を延長して、低グレードのマシンの使用を監査するための追加時間を確保する。これは、監査スケジュールに支障をきたし、監査チームと監査対象者の可用性に支障をきたすため、適切な対応ではありません。監査人は、認証機関に状況を報告し、後続の監査の実施など、監査計画に必要な変更を提案する必要があります。
F. 組織がプロセスを公開していないため、8.1 運用計画および管理に対して不適合を報告します。これは、検証または裏付けされていない単一の情報源に基づくため、適切な対応ではありません。監査人は、不適合を裏付けるために十分かつ適切な監査証拠を収集する必要があり、不適合の根本原因と重大性も考慮する必要があります。
参考文献:
ISO/IEC 27001:2022、条項8.1および附属書AのA.5.24の制御
ISO/IEC 27006:2022、条項7.4.2、7.4.3、および7.5.2
[PECB候補者ハンドブック ISO/IEC 27001主任監査員]、18-19、23-24ページ ISO 27001内部監査を実施するためのステップバイステップガイド ISO 27001 - 付録A.16：情報セキュリティインシデント管理

情報セキュリティ管理システム (ISMS) を確立、実装、維持、および継続的に改善するための要件を規定する ISO/IEC 27001:2022 によると、条項 4.2 では、組織は ISMS1 に関連する利害関係者のニーズと期待を判断する必要があります。これには、情報セキュリティ活動に適用される法律、規制、契約、およびその他の要件の特定が含まれます。したがって、ヘルスケア モニタリングのサービス要件が何であるかに関する証拠をさらに収集することは、監査の目的や基準に直接関連しないため、情報セキュリティ インシデント管理プロセスの検証には関連しない可能性があります。このオプションは監査証跡には含まれません。

説明
ファーストパーティ監査は、組織のスタッフまたは請負業者が ISMS の適合性と有効性をチェックする内部監査です。認証機関の監査員と認定機関の監査チームは、認証または認定を目的として監査を実施する外部監査員です。
彼らはファーストパーティ監査ではなく、サードパーティ監査に参加します。参考資料: ファーストパーティ監査とセカンドパーティ監査 - 運用サービス、ISO 27001 監査プロセス | ブログ | OneTrust、ISO 27001 監査プロセス | 初心者向けガイド - IAS USA