ISMS の確立フェーズでは、組織内の情報セキュリティ管理の範囲、コンテキスト、目的、およびリーダーシップのコミットメントを定義する必要があります。また、情報セキュリティに関連するリスクと機会を特定して評価し、それらに対処するための適切な管理策を選択することも含まれます。ISMS の実装フェーズでは、情報セキュリティの目的を達成し、選択した管理策を実施するための計画とアクションを実行します。また、情報セキュリティ管理のためのリソースと能力の可用性を確保することも含まれます。ISMS の運用フェーズでは、ISMS のパフォーマンスと有効性を監視および測定し、結果を報告することが含まれます。また、不適合に対処し、再発を防止するための是正措置を講じることも含まれます。ISMS の保守フェーズでは、計画された間隔で ISMS をレビューおよび評価し、改善の機会を特定することが含まれます。さらに、組織の内部および外部の状況の変化を反映するために、必要に応じて ISMS を更新することも含まれます。したがって、ISMS は、確立、実装、運用、保守の順序で構築されます。参照: ISO/IEC 27001:2022、条項 6-10 ISO/IEC 27000:2022、第4項。

説明
情報セキュリティ管理システム（ISMS）の確立、実装、維持、および継続的な改善に関する要件を規定するISO/IEC 27001:2022では、管理策A.5.29において、組織は、事業継続管理プロセスを確立し、維持することで、混乱を引き起こすインシデント発生後も、情報および情報システムの継続的な可用性を必要なレベルで確保することが求められています1。組織は、重要な情報資産とプロセスを特定して優先順位付けし、混乱を引き起こすインシデントのリスクと影響を評価し、事業継続計画（BCP）を策定および実装し、BCPをテストおよびレビューし、関係者が自らの役割と責任を認識していることを確認する必要があります1。したがって、事業継続管理プロセスの情報セキュリティを検証する際には、ISMS監査人は、これらの側面が監査基準に従って満たされていることを確認する必要があります。
制御 A.5.29 を検証するための監査証跡に含まれる 3 つのオプションは次のとおりです。
* 組織がモバイルデバイスおよびテレワーク中の情報セキュリティをどのように管理しているかについて、より多くの証拠を収集する（管理策A.6.7に関連）：このオプションは、従業員がノートパソコン、タブレット、スマートフォンなどのモバイルデバイスを使用して在宅勤務する際に、情報および情報システムの機密性、完全性、可用性を保護するための適切な管理策をどのように実施しているかを示す証拠を提供できるため、重要です。これは、組織がテレワークとモバイルデバイスの使用に関するポリシーと手順を確立することを求める管理策A.6.7に関連しています1。
* 事業継続計画（BCP）がどのように、いつテストされたかについての証拠をさらに収集する（コントロールA.5.29に関連）：このオプションは、パンデミックなどの様々なシナリオにおけるBCPの有効性と適合性を確保するために、組織がどのようにBCPをテストし、レビューしたかを示す証拠を提供できるため、重要です。これは、コントロールA.5.29に関連しており、このコントロールでは、組織は計画された間隔で、または重大な変更が発生した際にBCPをテストし、レビューすることが求められています1。
* 組織がどのようにして検査結果が陰性の職員のみを入館させているかについて、さらなる証拠を収集する（統制A.7.2に関連）：このオプションは、職員や入居者間の感染や伝染のリスクを防止または軽減するための適切な管理策（職員による定期的な自己検査の義務付けや健康状態アプリの使用など）をどのように実施しているかを示す証拠を提供できるため、関連しています。これは統制A.7.2に関連しており、この統制では、すべての従業員と請負業者が情報セキュリティの脅威と懸念、それぞれの責任と賠償責任を認識し、この点に関する組織のポリシーと手順をサポートするための準備を整えていることを組織に求めています1。
その他のオプションは、管理策A.5.29またはその要件とは関連がないため、管理策の検証には関係ありません。例えば、
* 在宅勤務に関する従業員の意見を聞き取り、より多くの証拠を収集する（4.2項関連）：このオプションは、組織が事業継続管理プロセスをどのように確立・維持したか、あるいは混乱を引き起こすインシデント発生後に情報および情報システムの継続的な可用性を確保したかについての証拠を提供していないため、関連性がありません。これは、組織が利害関係者のニーズと期待を理解することを求めている4.2項に関連している可能性がありますが、管理策A.5.29とは特に関連していません。
* 組織が在宅勤務のスタッフをサポートするためにどのようなリソースを提供しているかについての証拠をさらに収集する
* 自宅（7.1項に関連）：このオプションは、組織が事業継続管理プロセスをどのように確立し維持したか、または混乱を引き起こすインシデント発生後に情報および情報システムの継続的な可用性を確保したかについての証拠を提供していないため、関連性がありません。これは、組織がISMSに必要なリソースを決定し、提供することを要求する7.1項に関連している可能性がありますが、管理策A.5.29とは特に関連していません。
* 組織が既存の入居者を介護施設からどれだけ早く退院させることができるかを評価するために、どのように事業リスク評価を実施しているかについて、より多くの証拠を収集する（条項6に関連）：このオプションは、組織が事業継続管理プロセスをどのように確立・維持しているか、または混乱を引き起こすインシデント発生後に情報および情報システムの継続的な可用性を確保しているかについての証拠を提供していないため、関連性がありません。これは、ISMSのリスクと機会に対処するための行動を計画することを組織に要求する条項6に関連している可能性がありますが、管理策A.5.29とは特に関連していません。
参照: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件

ISMS の適用範囲の内容を定義する正しい記述は、ISMS の適用範囲では、発生した情報セキュリティの問題と利害関係者の要件を考慮する必要がある、というものです。
ISO/IEC 27001:2022によれば、ISMSの適用範囲は、内部および外部の問題、利害関係者の要件と期待、組織と他の関係者間のインターフェースと依存関係、そして情報セキュリティリスクを考慮して決定されるべきです。また、ISMSの適用範囲は、組織の戦略的方向性と整合し、組織の目的と状況に適切である必要があります。
ISMSの適用範囲は、リスク評価および利害関係者のニーズと期待によって正当化されない限り、政府の推奨によって制限されるべきではなく、外部サービスプロバイダーを除外すべきでもなく、単一の部門または機能に基づくべきでもない。参考文献：= ISO/IEC 27001:2022、条項
4.3; PECB 候補者ハンドブック ISO 27001 主任審査員、15 ページ; ISO 27001 適用範囲ステートメント | ISMS の適用範囲を設定する方法 - Advisera。

情報セキュリティ管理システムの概要と用語集を提供するISO/IEC 27000:2018によれば、情報セキュリティイベントとは、情報セキュリティポリシー違反の可能性、安全対策の不備、あるいはセキュリティに関連する可能性のある未知の状況を示すシステム、サービス、またはネットワークの状態の発生を特定することです1。情報セキュリティインシデントとは、事業運営に重大な危害を加え、情報セキュリティを脅かす可能性の高い、望ましくない、または予期しない単一または一連の情報セキュリティイベントです1。したがって、この定義に基づくと、情報セキュリティインシデントの3つの例は次のとおりです。
* 支払いを受けていない請負業者が経営幹部の ICT アカウントを削除する: これは、経営幹部のアクセス、データ、または機能の喪失につながる可能性があるため、業務運営を危険にさらし、情報セキュリティを脅かす可能性が非常に高い、望ましくない、または予期しない情報セキュリティ イベントの例です。
* 不満を持つ従業員が許可なく給与記録を変更する: これは、望ましくない、または予期しない情報セキュリティ イベントの例であり、財務詐欺、法的責任、または組織の評判の失墜につながる可能性があるため、業務運営に支障をきたし、情報セキュリティを脅かす可能性が非常に高くなります。
* 組織のマーケティング データがハッカーによってコピーされ、競合他社に販売される: これは、組織の機密性、競争上の優位性、または顧客からの信頼の喪失につながる可能性があるため、業務運営に危険が及んで情報セキュリティが脅かされる可能性が非常に高い、望ましくない、または予期しない情報セキュリティ イベントの例です。
その他の選択肢は情報セキュリティインシデントの例ではなく、その影響と重大性に応じてインシデントにつながるかどうかが判断できる情報セキュリティイベントです。例えば、
* 組織のマルウェア対策ソフトウェアがウイルスを防止: これは、情報セキュリティ ポリシー違反または安全対策の失敗の可能性を示唆するシステム状態の発生が確認された例ですが、マルウェア対策ソフトウェアによって防止されているため、業務運営に支障をきたしたり、情報セキュリティを脅かしたりする大きな可能性はありません。
* ハード ドライブが推奨交換日を過ぎて使用されている: これは、情報セキュリティ ポリシー違反または安全対策の失敗の可能性を示唆するシステム状態の発生が確認された例ですが、障害が発生したり他の問題が発生したりしない限り、業務運営に支障をきたしたり、情報セキュリティを脅かしたりする重大な可能性はありません。
* 組織がフィッシング詐欺メールを受信する: これは、情報セキュリティ ポリシー違反または安全対策の失敗の可能性を示唆するネットワーク状態の発生が確認された例ですが、受信者がメールを開封したり返信したりしない限り、業務運営に支障をきたしたり情報セキュリティを脅かしたりする重大な可能性はありません。
* 従業員がシフト終了時にデスクを片付けない: これは、情報セキュリティ ポリシー違反または安全対策の失敗の可能性を示唆するサービス状態の発生が確認された例ですが、デスクに権限のない人物がアクセスできる機密情報や秘密情報が含まれていない限り、業務運営に支障をきたし、情報セキュリティを脅かす重大な可能性はありません。
* 組織がサードパーティの侵入テストに不合格: これは、情報セキュリティ ポリシーの違反または安全対策の失敗の可能性を示唆するシステム状態の発生が確認された例ですが、侵入テストによって悪意のある行為者によって悪用される重大な脆弱性が明らかにならない限り、業務運営に危険が及んだり、情報セキュリティが脅かされたりする大きな可能性はありません。
参考資料: ISO/IEC 27000:2018 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と用語