Explanation:
監査結果を決定するには、監査基準に照らして監査証拠を評価する必要があります。
監査証拠とは、監査人が監査プロセス中に入手した情報であり、監査意見または結論を形成するための根拠として用いられるものである12。監査証拠には、記録、文書、陳述、観察、インタビュー、またはテスト結果が含まれる場合がある12。
監査基準とは、監査証拠を比較するための基準として使用される一連のポリシー、手順、標準、規制、または要件です12。監査基準は、ISO規格、業界のベストプラクティス、法的義務など、内部または外部の情報源から導き出される場合があります12。
監査指摘事項とは、監査証拠を評価し、監査基準13と比較するプロセスの結果です。監査指摘事項は、監査基準が満たされている（適合）か、満たされていない（不適合）かを示すことができます。また、ベストプラクティスや改善の機会を特定することもできます13。
参考文献:
ISO 19011:2022 マネジメントシステム監査ガイドライン
ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 監査結果の要件構成要素 - 内部監査人協会

説明
この訓練は組織の事業継続計画および緊急対応手順の一環であるため、ご参加いただくことをお勧めします。この訓練は、組織の火災発生への備えの有効性と効率性を検証し、従業員と資産の安全とセキュリティを確保することを目的としています。
この訓練に参加することで、組織の情報セキュリティポリシーと文化への遵守、そして火災事故の潜在的なリスクと影響に対する認識を示すことになります。また、この訓練は、火災緊急事態への対応方法に関するスキルと知識を習得し、向上させる機会でもあります。参考資料：[CQI & IRCA認定 ISO/IEC 27001:2022 主任審査員研修コース]、ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項、火災訓練が重要な理由

マネジメントレビューは、PDCA（計画・実行・評価・改善）サイクルにおける「確認」段階の重要な要素です。その主な目的は、ISMS全体を評価し、改善のための戦略的な意思決定を行うことです。他の選択肢がそれほど正確ではない理由は次のとおりです。
* A. ランダムな間隔: 一貫性を保ち、進捗状況を追跡するために、レビューは計画された間隔で実施する必要があります。
* B. コンプライアンス: コンプライアンスは考慮事項ですが、主な焦点は、組織のニーズに対するシステムの適合性、リスク管理の妥当性、および情報セキュリティ目標の達成における全体的な有効性にあります。
* D. 更新: 管理レビューによって更新が行われる場合もありますが、その主な目的は評価であり、即時の変更ではありません。
参照：
* ISO/IEC 27001:2022、セクション 9.3 (管理レビュー): 管理レビューを実施する目的と要件の概要を示します。

ISO 27001:2022 附属書 A 管理策 8.30 によれば、組織は情報セキュリティ管理システムに関連する外部から提供されるプロセス、製品、またはサービスが管理されていることを確実にしなければなりません。これには、コードの所有権と知的財産権を対象とするライセンス契約の作成と締結、および附属書 A 8.25 と 8.2912 に従った安全な設計とコーディングに関する適切な契約上の要求事項の実装が含まれます。この場合、組織と開発者はセキュリティ テストを実行しましたが、失敗しました。これは、附属書 A 8.29 の安全な設計とコーディングの要件が満たされていないことを示しています。IT マネージャーは、暗号化機能と仮名化機能がシステムとサービスのパフォーマンスを低下させたために失敗したこと、そしてこれをカバーするために 150% の追加リソースが必要であることを説明しています。ただし、これは、ソフトウェア セキュリティ管理手順に従ってテストを承認する権限がないサービス マネージャーがテスト結果を受け入れることを正当化するものではありません。サービスマネージャーは、プロセスのオーナーであるITマネージャーと協議し、不適合および是正措置の処理手順に従うべきでした。サービスマネージャーがアクセス制御のみに基づいてサービスを継続するという決定は、モバイルアプリによって処理される個人データの機密性、完全性、および可用性を損なうリスクに組織をさらします。したがって、条項8.1、管理策A.8.30に不適合（NC）があります。
ISO 27001:2022 8.1項によれば、組織は情報セキュリティ要件を満たすために必要なプロセスを計画、実装、管理し、8.1項で決定された行動を実行する必要がある。
6.1. 組織は、計画された変更についても管理を行い、意図しない変更による影響を検証し、必要に応じて悪影響を軽減するための措置を講じなければならない。12 この事例では、組織はモバイルアプリのバージョン1.0からバージョン1.01への計画的な変更を管理していなかった。これは、頻繁なランサムウェア攻撃への対応として、外部委託先の開発者が提供したマイナーアップデートであった。ITマネージャーは、開発者がアップデートされたソフトウェアの緊急リリースを実施し、セキュリティ機能に影響がないことについて口頭で保証したと説明している。
しかし、これだけでは、変更が展開前に適切に評価、テスト、文書化、承認されていることを保証するには不十分です。ITマネージャーは変更管理プロセスと手順に従い、更新されたソフトウェアがセキュリティ要件を満たし、新たな脆弱性やリスクを招かないことを確認するべきでした。ITマネージャーが20年にわたる情報セキュリティの経験と開発者の口頭での保証に依拠しているとしても、ソフトウェアの再テストを省略する正当な根拠にはなりません。したがって、8.1項に不適合（NC）が存在します。
参考文献:
1: ISO/IEC 27001:2022 主任審査員（情報セキュリティマネジメントシステム）コース（CQIおよびIRCA認定トレーニング1） 2: ISO/IEC 27001 主任審査員トレーニングコース（PECB 2）

説明
ISO 27001:2022 9.1.2項によれば、組織は、情報セキュリティマネジメントシステムが組織自身の要求事項、ISO 27001:2022の要求事項に適合し、効果的に実施・維持されているかどうかに関する情報を提供するために、計画された間隔で内部監査を実施しなければならない。12 ISO 27001:2022 10.1項によれば、組織は不適合に対応し、必要に応じて、それらを管理・是正し、その結果に対処するための措置を講じなければならない。また、組織は、不適合の再発または発生を防止するために、不適合の原因を除去するための措置の必要性を評価しなければならない。
組織は、必要な措置を実施し、講じた是正措置の有効性をレビューし、必要に応じて情報セキュリティ管理システムに変更を加えなければならない12。フォローアップ監査は、前回の監査後に実施される内部監査の一種であり、不適合および是正措置が対処され解決されたかどうか、および情報セキュリティ管理システムが改善されたかどうかを検証するものである12。したがって、フォローアップ監査計画を準備する場合、以下の記述が当てはまります。
検証は、実施された措置が完了しているかどうかに焦点を当てるべきです。つまり、監査人は、組織が不適合を是正および防止するために計画されたすべての措置を実施しているかどうか、そしてそれらの措置が要求どおりに文書化され、伝達されているかどうかを確認すべきです。12 検証は、実施された措置が効果的に実施されているかどうかに焦点を当てるべきです。つまり、監査人は、組織が措置の意図された結果と目的を達成したかどうか、そしてそれらの措置によって不適合とその原因および結果が排除または軽減されたかどうかを確認すべきです。12 フォローアップ監査計画の作成に関して、以下の記述は誤りです。
検証は、講じられた措置が効率的に行われたかどうかに焦点を当てるべきです。これは誤りです。なぜなら、効率は、不適合や是正処置に対処するために講じられた措置を検証するための基準ではないからです。効率とは、望ましい結果を達成するための資源の最適な使用を指しますが、ISO 27001:2022 の要件ではありません。監査員は、効率ではなく、措置の有効性と完全性に焦点を当てるべきです。12 最初に修正を検証し、次に是正処置、最後に改善の機会を検証すべきです。これは誤りです。なぜなら、修正、是正処置、改善の機会を検証するための規定の順序はないからです。監査員は、順序や優先順位にかかわらず、組織が講じたすべての措置を検証すべきです。監査員は、関連性、重要性、または影響に基づいて措置を検証することを選択できますが、これは必須の要件ではありません。12 最初に改善の機会を検証し、次に修正、最後に是正処置を検証すべきです。これは誤りです。改善、是正、および是正措置の機会を検証する順序は規定されていません。監査人は、その順序や優先順位に関係なく、組織が実施したすべての措置を検証する必要があります。監査人は、その関連性、重要性、または影響に基づいて措置を検証することを選択できますが、これは必須の要件ではありません12。最初に是正措置をレビューし、次に是正、最後に改善の機会をレビューする必要があります。これは誤りです。是正措置、是正、および改善の機会をレビューする順序は規定されていません。監査人は、その順序や優先順位に関係なく、組織が実施したすべての措置をレビューする必要があります。監査人は、その関連性、重要性、または影響に基づいて措置をレビューすることを選択できますが、これは必須の要件ではありません12。参考文献:
1: ISO/IEC 27001:2022 主任審査員（情報セキュリティマネジメントシステム）コース（CQIおよびIRCA認定トレーニング1） 2: ISO/IEC 27001 主任審査員トレーニングコース（PECB 2）