情報資産の適正な利用において禁止されていない唯一の選択肢は、C：上司/TLの許可を得た全社向けメールです。このオプションは、送信者が上司またはチームリーダーから組織内の全従業員にメールを送信するための必要な承認を得ていることを意味します。これは、全員に関係する重要なニュース、イベント、最新情報の発表など、正当な業務目的であれば可能です。ただし、このオプションは、乱用または誤用された場合、受信者に不必要な混乱や迷惑をかける可能性があるため、控えめに、責任を持って使用する必要があります。その他の選択肢は、組織の情報セキュリティポリシーおよび手順に違反する可能性があり、リソースと帯域幅を浪費する可能性があるため、情報資産の適正な利用において禁止されています。電子チェーンメール（A）は、受信者に複数の相手に転送するよう促すメッセージであり、多くの場合、虚偽または誤解を招く主張や約束が含まれています。これらはスパムと見なされ、情報セキュリティを侵害する可能性のある悪意のあるリンクや添付ファイルが含まれている可能性があります。重要でない読者への電子メールのコピー（B）は、受信する必要がない、または関心のない受信者に送信されるメッセージです。これらは不要とみなされ、受信トレイを乱雑にし、受信者がより重要なメッセージから気をそらす可能性があります。非常に大きな添付ファイル付きのメッセージ、または多数の受信者へのメッセージ（D）は、ネットワークリソースを大量に消費し、情報システムのパフォーマンスや可用性に影響を与える可能性があります。また、受信者のメールボックスのストレージ容量またはクォータ制限を超え、問題を引き起こす可能性もあります。ISO/IEC 27001:2022では、組織が資産の許容可能な使用に関するルールを実施することを要求しています（A.8.1.3項を参照）。参考資料：CQIおよびIRCA認定ISO/IEC 27001:2022主任審査員研修コース、ISO/IEC 27001:2022情報技術
- セキュリティ技術 - 情報セキュリティ管理システム - 要件、許容される使用とは?

第三者によるバーチャル監査とは、独立した認証機関がビデオ会議、画面共有、電子文書交換などのリモート技術を用いて実施する外部監査です。第三者によるバーチャル監査の目的は、情報セキュリティマネジメントシステム（ISMS）の適合性と有効性を検証し、適合証明書を発行することです。12 監査を開始する前に、監査対象者に以下の事項について通知する必要があります。12 インタビュー対象者には、事前に氏名と役職を述べてもらいます。これは、ISMSにおける本人確認と役割を確認するためです。これは、インタビュー対象者が関係者であること、そして監査に必要な情報と証拠を提供する権限を有していることを確認するためです。
監査が行われている部屋の360度ビュー、つまり監査場所の物理的および環境的セキュリティを確認するためのビューを要求します。これは、監査対象情報の機密性、完全性、または可用性を損なう可能性のある、権限のない人物やデバイスが近くに存在しないことを確認するためです。
その他の問題は、次の理由により、サードパーティの仮想監査には関連がなく、適切でもありません。
画面に映っている人物の身元を確認するため、IDカードの提示を求めます。事前に氏名と役職を尋ねており、かつ監査対象者の組織図や職員名簿にアクセスできる場合は、IDカードの提示は不要です。IDカードの提示を求めることは、監査対象者から押し付けがましい、あるいは失礼な行為と受け取られる可能性があります。
監査プロセスを記録するため、インタビュー対象者全員の写真を撮ることになります。これは、監査対象者とインタビュー対象者のプライバシーや同意を侵害する可能性があるため、推奨されません。また、写真撮影は、監査対象者から非専門的または疑わしい行為とみなされる可能性があります。監査対象者と監査ツールから提供される監査記録と証拠に依拠する必要があります。
監査対象者の希望や権利を尊重するために許可された場合を除き、監査のいかなる部分も記録しないでください。品質保証と検証の目的で監査は常に記録する必要があるため、この点について監査対象者に通知することは適切ではありません。監査の記録は、ISO/IEC 27001規格および認証機関の要件でもあります。監査開始前に、監査対象者に監査を記録することを伝え、同意を得る必要があります。
監査対象者は、オンライン活動に関連するすべてのリスクを評価し、監査プロセスのセキュリティを確保することを期待します。これは、ISMSのリスク評価と対応プロセスを整備することは監査対象者の責任と義務であるため、監査対象者に通知する必要はありません。監査対象者のリスク管理の実践と統制は、監査前ではなく、監査中に評価する必要があります。
参照：
1: ISO/IEC 27001:2022 主任審査員（情報セキュリティマネジメントシステム）コース（CQIおよびIRCA認定トレーニング1） 2: ISO/IEC 27001 主任審査員トレーニングコース（PECB 2）

ここで説明されている責任は「ガイド」の責任に該当します。監査におけるガイドとは、通常、監査対象組織の担当者であり、監査活動の促進、ロジスティクスの管理、安全衛生ポリシーの遵守の確保、そして場合によっては監査プロセスに立ち会い、監査チームを支援する役割を担います。

いいえ、監査人は監査任務を受け入れるか否かを決定する際にも客観性を維持する必要があります。
監査対象者の内部監査員である友人と以前の監査報告書について話し合うと、外部監査員の客観性と独立性が損なわれる可能性があります。
参考資料: ISO 19011:2018、監査管理システムのガイドライン。監査人が公平性と機密性を維持する必要性を強調しています。

公開情報またはデータには、ラベルを付ける必要はありません。公開情報またはデータとは、一般に公開されることを意図しており、公開されても組織の業務や評判に影響を及ぼさない情報のことです。ラベル付けは、分類を実施する方法であり、組織の機密性と価値に応じて情報を構造化するプロセスです。ラベル付けは、情報の種類ごとに必要な保護および取り扱いのレベルを識別するのに役立ちます。内部情報、機密情報、または高度に機密情報として分類された情報またはデータは、一般公開に適さず、公開されると組織に損害または損失をもたらす可能性のある情報が含まれているため、ラベル付けが必要です。参照: : CQI & IRCA ISO 27001:2022 主任審査員コース ハンドブック、34 ページ。 : CQI & IRCA ISO 27001:2022 主任審査員コース ハンドブック、37 ページ。 : [ISO/IEC 27001 主任審査員 - PECB]、14 ページ。