説明
管理システムの監査および認証を提供する機関の要件を規定する ISO/IEC 17021-1:2015 によると、条項 9.4.9 では、認証機関は監査中に取得した情報およびその他の関連情報に基づいて認証の決定を下す必要があります1。認証機関は、監査中に特定された不適合に対処するために被監査者が行った是正措置の有効性も考慮する必要があります1。したがって、監査プログラム マネージャーに推奨を行う際、ISMS 監査人は不適合の性質と重大性、および提案された是正措置を考慮する必要があります。
上記のシナリオに基づいて、監査人は、提案された是正措置計画を承認した後、認証を推奨し、1 年後の監視監査で発見事項を解決できることを推奨する必要があります。監査人は、推奨の根拠として次の内容を示す必要があります。
根拠: この推奨は、被監査者に軽微な不適合が 2 件、改善の機会が 1 件あるのみであり、ISMS の重大なまたは体系的な失敗を示すものではないという事実を反映しているため適切です。軽微な不適合とは、ISO/IEC 27001:2022 の 1 つ以上の要件を達成できなかったこと、または ISMS プロセスが意図した出力を達成できるかどうかについて重大な疑問が生じる状況として定義されますが、全体的な有効性や適合性には影響しません2。改善の機会とは、ISO/IEC 27001:2022 で要求されている以上の改善の提案として定義されます2。したがって、これらの発見事項は、適切な是正措置によって合理的な時間枠内に対処される限り、認証を妨げたり排除したりすることはありません。監査人は、認証を推奨する前に、提案された是正措置計画を承認し、それが現実的で、達成可能で、効果的であることを確認する必要があります。監査人はまた、是正措置が実施され、意図したとおりに機能していることを確認するために、1 年後の監視監査で発見事項を終了できることを推奨する必要があります。
その他のオプションは、特定のシナリオに対して緩すぎるか厳しすぎるため、監査プログラム マネージャーにとって有効な推奨事項ではありません。例:
直ちに認証を推奨する: このオプションは、監査人が不適合を無視または受け入れることを意味し、ISOの監査原則と目的に反するため無効です。
19011:20182 は、管理システムの監査に関するガイドラインを提供しています。また、これは、認証機関が認証の決定を行う前に、被監査者が行った是正措置の有効性を考慮することを要求する ISO/IEC 17021-1:20151 の要件にも矛盾しています。
6か月以内に全範囲の再監査が必要であることを推奨する: このオプションは、監査人が不適合に対して過剰反応したり誇張したりすることを示唆しており、ISO 19011:20182の監査原則と目的に反しているため、有効ではありません。また、ISO/IECの要件にも反しています。
17021-1:20151 では、認証機関が不適合の性質と範囲、およびその他の関連要因に基づいて再監査が必要かどうかを判断することが求められています。フルスコープの再監査は通常、ISMS の深刻または広範囲にわたる不適合を示す重大な不適合または複数の軽微な不適合に対して行われます。
予告なしの監査を将来の日にちで実施することを推奨する: このオプションは、監査人が被監査者の是正措置を実施する取り組みまたは能力を信用していない、または疑って​​いることを示唆しており、ISO 19011:20182 の監査原則および目的に反しているため、無効です。また、これは ISO/IEC 17021-1:20151 の要件にも反しています。この要件では、ISMS に重大な問題の兆候がある場合や、セクター固有のスキームによって要求される場合など、特定の条件下でのみ認証機関が予告なしの監査を実施することが求められています。
3 か月以内に部分監査が必要であることを推奨する: このオプションは、監査人が是正処置の検証に特定の時間枠または範囲を課すか規定することを意味しており、ISO 19011:20182 の監査原則および目的に反しているため無効です。また、これは、不適合の性質と範囲、およびその他の関連要因に基づいて部分監査が必要かどうかを判断することを認証機関に要求する ISO/IEC 17021-1:20151 の要件にも反します。軽微な不適合には部分監査が適切である可能性がありますが、時間枠と範囲は、提案された是正処置計画に基づいて、監査対象者と合意する必要があります。
参照: ISO/IEC 17021-1:2015 - 適合性評価 - マネジメントシステムの監査および認証を提供する機関に対する要求事項 - パート 1: 要求事項、ISO 19011:2018 - マネジメントシステムの監査に関するガイドライン

説明
管理システムの監査および認証を提供する機関の要件を規定する ISO/IEC 17021-1:2015 によると、条項 9.4.9 では、認証機関は監査中に取得した情報およびその他の関連情報に基づいて認証の決定を下す必要があります1。認証機関は、監査中に特定された不適合に対処するために被監査者が行った是正措置の有効性も考慮する必要があります1。したがって、監査プログラム マネージャーに推奨を行う際、ISMS 監査人は不適合の性質と重大性、および提案された是正措置を考慮する必要があります。
上記のシナリオに基づいて、監査人は、提案された是正措置計画を承認した後、認証を推奨し、1 年後の監視監査で発見事項を解決できることを推奨する必要があります。監査人は、推奨の根拠として次の内容を示す必要があります。
* 根拠: この推奨は、被監査者に軽微な不適合が 2 件、改善の機会が 1 件あるのみであり、ISMS の重大なまたは体系的な失敗を示すものではないという事実を反映しているため適切です。軽微な不適合とは、ISO/IEC 27001:2022 の 1 つ以上の要件を達成できなかったこと、または ISMS プロセスが意図した出力を達成できるかどうかについて重大な疑問が生じるものの、全体的な有効性や適合性には影響しない状況と定義されます2。改善の機会とは、ISO/IEC 27001:2022 で要求されている以上の改善の提案と定義されます2。したがって、これらの発見事項は、適切な是正措置によって合理的な時間枠内に対処される限り、認証を妨げたり排除したりすることはありません。監査人は、認証を推奨する前に、提案された是正措置計画を承認し、それが現実的で、達成可能で、効果的であることを確認する必要があります。監査人はまた、是正措置が実施され、意図したとおりに機能していることを確認するために、1 年後の監視監査で発見事項を終了できることを推奨する必要があります。
その他のオプションは、特定のシナリオに対して緩すぎるか厳しすぎるため、監査プログラム マネージャーにとって有効な推奨事項ではありません。例:
* 直ちに認証を推奨する: このオプションは、監査人が不適合を無視または受け入れることを意味し、ISOの監査原則と目的に反するため無効です。
19011:20182 は、管理システムの監査に関するガイドラインを提供しています。また、これは、認証機関が認証の決定を行う前に、被監査者が行った是正措置の有効性を考慮することを要求する ISO/IEC 17021-1:20151 の要件にも矛盾しています。
* 6か月以内に全範囲の再監査が必要であることを推奨する：このオプションは、監査人が不適合に対して過剰反応したり誇張したりすることを示唆しており、ISO 19011:20182の監査原則と目的に反しているため無効です。また、ISO/IECの要件にも反しています。
17021-1:20151 では、認証機関が不適合の性質と範囲、およびその他の関連要因に基づいて再監査が必要かどうかを判断することが求められています。フルスコープの再監査は通常、ISMS の深刻または広範囲にわたる不適合を示す重大な不適合または複数の軽微な不適合に対して行われます。
* 予告なしの監査を将来実施することを推奨する: このオプションは、監査人が被監査者の是正措置実施の取り組みまたは能力を信用していない、または疑って​​いることを示唆しており、ISO 19011:20182 の監査原則および目的に反しているため無効です。また、これは ISO/IEC 17021-1:20151 の要件にも反しています。この要件では、ISMS に重大な問題の兆候がある場合や、セクター固有のスキームによって要求される場合など、特定の条件下でのみ認証機関が予告なしの監査を実施することが求められています。
* 3 か月以内に部分監査が必要であることを推奨する: このオプションは、監査人が是正処置の検証に特定の時間枠または範囲を課すか規定することを意味しており、ISO 19011:20182 の監査原則および目的に反しているため無効です。また、これは、不適合の性質と範囲、およびその他の関連要因に基づいて部分監査が必要かどうかを判断することを認証機関に要求する ISO/IEC 17021-1:20151 の要件にも反します。軽微な不適合には部分監査が適切である可能性がありますが、時間枠と範囲は、提案された是正処置計画に基づいて、監査対象者と合意する必要があります。
参照: ISO/IEC 17021-1:2015 - 適合性評価 - マネジメントシステムの監査および認証を提供する機関に対する要求事項 - パート 1: 要求事項、ISO 19011:2018 - マネジメントシステムの監査に関するガイドライン

フォローアップ監査の目的は、前回の監査で特定された不適合に対応して被監査者が講じた是正措置の完了と有効性を検証することです1。フォローアップ監査は、初回監査後に実施される監査の一種で、不適合が見つかり是正措置が合意された特定の領域に焦点を当てます2。フォローアップ監査は、不適合の性質と重大性、および監査プログラムの目的3に応じて、個別の監査として、または予定されている監査の一部として実施できます。
その他のオプションは、フォローアップ監査の目的ではなく、他の種類の監査の目的です。例:
*オプション A はパフォーマンス監査の目的であり、意図した結果を達成するための管理システムの有効性を評価するタイプの監査です4。
*オプション B はコンプライアンス監査の目的であり、ISMS の目的 5 などの指定された要件に対する管理システムの適合性を検証するタイプの監査です。
*オプション C はプロセス監査の目的であり、リスク処理プロセスなどの管理システム内の特定のプロセスの入力、アクティビティ、出力、および相互作用を検査するタイプの監査です。
参考文献: 1: ISO 19011:2018、6.7; 2: ISO 19011:2018、3.7; 3: ISO 19011:2018、5.5.2; 4: ISO 19011:2018、3.6; 5: ISO 19011:2018、3.5; : ISO 19011:2018、3.4; : ISO 19011:2018; : ISO 19011:2018; : ISO 19011:2018; : ISO 19011:2018; : ISO 19011:2018; : [ISO 19011:2018]

知らない人から、銀行の担当者を名乗って、口座番号とパスワードを聞いて口座を修正しようとするメールは、フィッシングと呼ばれるソーシャル エンジニアリングの一例です。フィッシングは、欺瞞的なメールやその他のメッセージを使用して受信者を騙し、パスワード、クレジットカード番号、銀行口座の詳細などの機密情報を明らかにさせる詐欺の一種です。フィッシング メールは、正当な組織や個人になりすまし、緊急性や好奇心を煽って被害者を誘惑し、悪意のあるリンクをクリックさせたり、悪意のある添付ファイルを開いたり、個人情報を提供させたりします。ISO/IEC 27001:2022 では、組織が意識向上プログラムやトレーニング プログラムを実装して、フィッシングなどのソーシャル エンジニアリング攻撃のリスクとその回避方法をユーザーに認識させることが求められています (条項 A.7.2.2 を参照)。参考資料: CQI および IRCA 認定 ISO/IEC 27001:2022 主任監査員トレーニング コース、ISO/IEC 27001:2022 情報技術 - セキュリティ手法 - 情報セキュリティ管理システム - 要件、フィッシングとは?