情報セキュリティは、信頼の構築と維持に関する問題です。信頼とは、情報と情報処理施設が、機密性、整合性、または可用性を損なう可能性のある不正または悪意のある行為から保護されているという確信です。信頼は、組織の情報とサービスに依存する顧客、パートナー、サプライヤー、従業員、およびその他の利害関係者との関係を確立し、維持するために不可欠です。信頼は、法律、規制、契約上の義務の遵守を達成し、組織独自の情報セキュリティの目標とポリシーを満たすための重要な要素でもあります。
ISO/IEC 27001:2022 では、情報セキュリティを「情報の機密性、完全性、可用性の保持」と定義し (条項 3.28 を参照)、「情報セキュリティ管理システムの目的は、情報の信頼性に影響を与える活動を管理するためのフレームワークを提供することである」と述べています (「はじめに」を参照)。参考資料: CQI および IRCA 認定 ISO/IEC 27001:2022 主任監査員トレーニング コース、ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、信頼とは何か?

説明
CQI & IRCA 認定 ISO/IEC 27001:2022 主任審査員トレーニングコースによると、建物がある都市または場所にアクセスできないシナリオは、都市災害シナリオと呼ばれます。このシナリオは、コンポーネント、施設、および国のシナリオとともに、事業継続計画プロセスで考慮する必要がある 4 種類の災害シナリオの 1 つです。都市シナリオは、組織が運営する都市または地域全体に影響を及ぼす自然災害、市民の暴動、テロ攻撃、またはパンデミックの発生などのイベントによって引き起こされる可能性があります。参照: [CQI & IRCA 認定 ISO/IEC
27001:2022 主任監査員養成コース]

情報セキュリティ管理システム (ISMS) を確立、実装、維持、および継続的に改善するための要件を規定する ISO/IEC 27001:2022 によれば、コントロール A.7.2 では、組織が適切な物理的な入場コントロールを実装して、安全な領域への不正アクセスを防止することが求められています1。組織は、安全な領域へのアクセス権の付与と取り消しの基準を定義して文書化し、そのようなアクセス権の使用を監視および記録する必要があります1。したがって、組織のコントロール A.7.2 の適用を監査する場合、ISMS 監査人は、これらの側面が監査基準に従って満たされていることを確認する必要があります。
上記のシナリオに基づき、監査人は、安全な領域が不正アクセスから適切に保護されていないため、コントロール A.7.2 に対して不適合を報告しなければなりません。監査人は、不適合について以下の証拠と正当性を示す必要があります。
* 証拠: 監査人は、センターの受付デスクから提供されたスワイプ カードと組み合わせ番号を使用して、2 人の外部請負業者が顧客のスイートにアクセスし、許可された電気修理を行っているのを観察しました。監査人は、顧客のスイートのドア アクセス記録を確認しましたが、スワイプされたカードは 1 枚のみでした。監査人は受付に問い合わせたところ、請負業者が 1 枚のカードをスワイプして、後ろから追いかけて入っていくのはよくある問題だが、受付のサインインから業者はわかっていると言われました。
* 根拠: この証拠は、組織が、管理 A.7.2 で要求されているように、安全なエリアへの不正アクセスを防止するための適切な物理的な入場管理を実施していないことを示しています。組織は、外部の請負業者にスワイプ カードと組み合わせ番号を提供するための検証または承認プロセスがないため、安全なエリアへのアクセス権を付与および取り消すための基準を定義および文書化していません。組織は、安全なエリアに入る前に各個人がカードをスワイプして組み合わせ番号を入力することを保証するメカニズムがないため、安全なエリアへのアクセス権の使用を監視および記録していません。組織は、受付のサインインを識別手段として頼っていますが、これは情報セキュリティを確保するには十分でも信頼性もありません。
その他のオプションは、コントロールまたはその要件に関連していないか、不適合に対処するのに適切または効果的ではないため、コントロール A.7.2 を監査するための有効なアクションではありません。例:
* 何もしない: このオプションは、監査人が不適合を無視または受け入れることを意味するため無効です。これは、管理システムの監査に関するガイドラインを提供する ISO 19011:20182 の監査原則と目的に反します。
* 情報セキュリティ要件がサプライヤーと合意されていないため、コントロール A.5.20「サプライヤーとの関係における情報セキュリティへの対応」に対して不適合を報告します。このオプションは、サプライヤーとの関係ではなく物理的な入場管理に関連する不適合の根本原因に対処していないため無効です。コントロール A.5.20 では、情報資産にアクセス、処理、保存、通信、または IT インフラストラクチャ コンポーネントを提供する可能性のあるサプライヤーと情報セキュリティ要件に合意することが組織に求められています1。このコントロールはサプライヤーとの関係における情報セキュリティの確保に関連している可能性がありますが、外部請負業者によるセキュリティ領域への不正アクセスの問題には対処していません。
* 安全なエリアでの作業に関するセキュリティ対策が定義されていないため、コントロール A.7.6「安全なエリアでの作業」に対して不適合を報告します。このオプションは、安全なエリアでの作業ではなく、物理的な入場管理に関連する不適合の根本原因に対処していないため無効です。コントロール A.7.6 では、組織が安全なエリアでの作業に関するセキュリティ対策を定義して適用することを要求しています1。
この制御は、安全なエリアで作業する際に情報セキュリティを確保することに関連している可能性がありますが、外部の請負業者による安全なエリアへの不正アクセスの問題には対処していません。
* 保護区域への個人のアクセスを確認するための追加の有効な手段（CCTV など）が実施されているかどうかを判断します。このオプションは、不適合に対処または解決するものではなく、その影響または可能性を軽減する可能性のある代替または補償制御を見つけようとするものであるため、有効ではありません。CCTV などの追加の手段は、保護区域への個人のアクセスを確認するのに役立つ場合がありますが、制御 A.7.2 で指定されている適切な物理的な入場制御の要件に取って代わるものではありません。
* 請負業者が安全な施設にアクセスするときは常に同伴者がいなければならないという改善の機会を提起する: このオプションは、不適合に対処または解決するものではなく、不適合の再発または重大性を防止または軽減できる可能性のある改善措置を提案するものであるため、無効です。
* 安全な施設にアクセスする際は常に請負業者に同行することが情報セキュリティを確保するための良い方法ですが、これは制御 A.7.2 で指定されている適切な物理的な入場管理の要件に代わるものではありません。
* 受付に大きなサインを設置して、アクセスを必要とするすべての人が常にスワイプ カードを使用する必要があることを思い出させる改善の機会を提起する: このオプションは、不適合に対処または解決するものではなく、既存の管理に対する認識またはコンプライアンスを向上させる可能性のある改善アクションを提案するものであるため、無効です。受付に大きなサインを設置して、アクセスを必要とするすべての人が常にスワイプ カードを使用する必要があることを思い出させるのは、情報セキュリティを確保するための便利なリマインダーかもしれませんが、管理 A.7.2 で指定されている適切な物理的な入場管理の要件に取って代わるものではありません。
* 組織に、請負業者にアクセス カードを適切に使用する必要性を通知する書面を送付する必要があることを通知する: このオプションは、不適合に対処または解決するものではなく、情報セキュリティの確保には効果的または十分ではない可能性のある是正措置を講じるように組織に指示するものであるため、無効です。請負業者にアクセス カードを適切に使用する必要性を通知する書面は、情報セキュリティを確保するためのコミュニケーション手段である可能性がありますが、コントロール A.7.2 で指定されている適切な物理的入場管理の要件に代わるものではありません。
参照: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、ISO 19011:2018 - 管理システム監査のガイドライン

ISO/IEC 27001:2022 の 7.2.2 項によれば、組織は、情報にアクセスできるすべての人が情報セキュリティ ポリシーと、情報セキュリティ パフォーマンスの向上によるメリットを含む ISMS の有効性への貢献を認識していることを確認する必要があります2。したがって、情報セキュリティに関する意識向上トレーニングは、新入社員だけでなく、すべての人に必要です。参考資料: ISO/IEC 27001:2022 主任監査員 (情報セキュリティ管理システム) | CQI | IRCA

このシナリオは「監査結果」を表しています。監査結果とは、期待されるパフォーマンスまたは基準からの逸脱を示す結果を指します。2 人の従業員が必要なトレーニングを受けていないことが判明した場合、それは組織のトレーニング要件に準拠していないことを示す監査結果となります。
参照: ISO 19011:2018、マネジメントシステムの監査に関するガイドライン