説明
監査人が対応すべき正しい選択肢は次のとおりです。
* A. MSRに、範囲の拡大が組み込まれる可能性があるが、確立された手順を踏む必要があることを通知します。
* D. マネジメントシステムが新しいサイトのプロセスをカバーしているかどうかを判断し、カバーしている場合は監査を進める。これらの選択肢は、ISO/IEC 27006:2015規格に準拠しており、認証範囲の変更はクライアントから認証機関に通知され、認証機関は自らの手順に従ってこれらの変更を評価し、決定を下すべきであると規定されています1。また、監査員は、認証範囲に含まれるすべてのサイトでISMSが実装され、維持されていることを確認する必要があります1。
その他のオプションは、監査人が対応すべき方法として適切ではありません。理由は次のとおりです。
* B. 監査範囲は最初の申請に基づいて決定されているため、監査は計画通りに進める必要があることを監査責任者に伝える：この選択肢はあまりにも厳格であり、クライアントの状況に合わせた柔軟性や適応性がありません。監査人は、監査範囲の変更について積極的に検討するべきです。
* 認証機関によって適切に通知および評価されている限り、最初の申請以降に発生した可能性のある認証。
* C. MSR が監査契約をキャンセルし、新しい状況に合わせて再申請することを提案する: このオプションは、クライアントと認証機関の両方に遅延とコストが発生するため、極端すぎて不必要です。
監査人は、クライアントに監査契約のキャンセルを提案するのではなく、認証範囲の拡大を要求し承認するための確立された手順に従うように提案する必要があります。
* E. 既存の認証範囲において、新しい作業領域を問題なく組み込むことができることをMSRに助言する：この選択肢はあまりにも緩やかであり、新しい作業領域がISO/IEC 27001およびISMSの要件を満たすことを保証しません。監査人は、新しい作業領域を既存の認証範囲に問題なく組み込むことができると想定するのではなく、新しいサイトでISMSが実装・維持されていること、そして認証範囲の変更が認証機関によって承認されていることを確認する必要があります。
* F. 監査人が、監査範囲が新しい作業領域を含むように改訂されることを監査対象者に通知することを確認します。このオプションはあまりにも傲慢であり、認証機関の権限を尊重していません。
監査人は、新しい作業領域を含めるために監査範囲を修正することを確認するのではなく、クライアントからの認証範囲の拡大要求を認証機関に通知し、その決定を待つ必要があります。

マネジメントシステム監査のガイドラインであるISO 19011:2018によれば、オープニングミーティングとは、監査開始時に監査チームと被監査者の間で行われる正式なコミュニケーションを指します1。オープニングミーティングの目的は、監査の目的、監査範囲、基準を確認し、監査チームとその役割を紹介し、監査計画と監査手順を確認し、監査方法と手順を説明し、コミュニケーションチャネルを確立することです1。したがって、クライアント組織のマネージングディレクターが、ステージ2監査のオープニングミーティング中に、監査チームに45分間の新しい企業ビデオの視聴を依頼した場合、監査チームリーダーは、監査の有効性と効率性を損なったり、被監査者との誤解や対立を招いたりしない方法で対応する必要があります。対応方法としては、マネージングディレクターに、監査に利用できる時間とリソースが限られている可能性があるため、監査チームは予定されたスケジュールを守る必要があると伝える方法と、ビデオが監査に関連性があり有用であり、他の監査活動の妨げにならない場合は、休憩中にビデオを視聴することを提案する方法の2つがあります1。その他の選択肢は、このような状況において監査チームリーダーが行うべき適切な対応ではありません。例えば、監査チームリーダーがオープニングミーティング後にチームを代表してビデオを視聴するために残ると述べることは、そのビデオが監査チームの他のメンバーにとって重要または関連性がないことを示唆する可能性があります。その晩にマネージングディレクターを監査人のホテルに招待してビデオを視聴させることは、偏見やえこひいきをして​​いるという印象を与える可能性があります。監査チームが視聴について後日決定すると言うことは、曖昧または優柔不断な印象を与える可能性があります。また、マネージングディレクターに監査チームが彼の要求に同意したと伝えることは、貴重な監査時間を無駄にしたり、監査目標への焦点を見失ったりする可能性があります。1 参考文献：ISO 19011:2018 - マネジメントシステム監査のガイドライン

PECB候補者ハンドブック1によると、監査の原則の一つは機密保持であり、監査人は監査中に得られた情報の機密性を尊重し、権限のない第三者に開示してはならないとされています。また、ハンドブックには、監査人は監査結果を、クライアント、監査対象者、認証機関など、正当な理由により知る必要がある者にのみ報告すべきであると記載されています。したがって、A社またはB社の他の顧客の関連管理者と監査結果を共有することは、監査プロセスやB社の情報セキュリティ管理システムに直接関与していないため、機密保持違反となります。
B社の情報セキュリティマネージャーまたはB社のその他の関連マネージャーと調査結果を共有することは適切です。彼らは監査対象組織の一員であり、ISMSの導入と改善に責任を負っているからです。また、A社のサプライヤー評価チームまたはB社の認証機関と調査結果を共有することも適切です。これらのチームは、サプライヤー選定または認証取得のために監査結果を知る正当な必要性があるためです。参考文献：1：PECB候補者ハンドブック - ISO 27001主任審査員、7～8ページ。

マネジメントシステム監査のガイドラインであるISO 19011:2018によれば、サンプリング計画とは、定義された母集団から監査証拠の代表的なサブセットを選択する方法です1。サンプリング計画には、監査においていくつかの利点があります。例えば、主要なプロセス、活動、および管理策を網羅することでISMSを適切に理解できること、時間とリソースの使用を最適化することで監査計画を効率的に実施できること、そしてサンプルが十分で信頼性が高く、偏りがないことを保証することで監査結果に信頼性があることなどです1。したがって、これら3つの選択肢は、監査にサンプリング計画を使用する利点の例です。その他の選択肢は利点ではなく、サンプリング計画を使用する際の欠点またはリスクです。例えば、監査人の直感を無視すると、サンプリング計画でカバーされていない重要な証拠や問題を見逃す可能性があります。同じ計画を連続して監査に使用すると、監査結果の有効性と妥当性が低下する可能性があります。また、不十分または不適切なサンプリング計画が原因で重要な問題が見逃される可能性があります1。参照: ISO 19011:2018 - マネジメントシステムの監査に関するガイドライン