マネジメントシステムの監査および認証を提供する機関に対する要求事項を規定する ISO/IEC 17021-1 によれば、認証機関は、認証の範囲、組織の規模と複雑さ、活動に関連するリスクなどの要素に基づいて、監査時間と監査チームの構成を決定するための基準を確立する必要があります2。したがって、初回認証監査のステージ 1 を完了した後、被監査者が監査範囲を 2 つの追加サイトに追加して拡張することを要求した場合、監査チーム リーダーは追加サイトに関する情報を入手して認証機関に通知し、範囲の変更を検討して承認し、それに応じて監査時間と監査チームを調整する必要があります2。その他の選択肢は、この状況で監査チーム リーダーが取るべき適切な行動ではありません。たとえば、認証機関に通知せずにステージ 2 監査の期間を延長して追加サイトを含めることは、認証機関の手順とポリシーに違反する可能性があります。また、ビデオ会議プラットフォームを使用して 2 つのサイトのステージ 1 監査をリモートで完了するように手配することは、サイトの性質と場所によっては実現可能または効果的ではない可能性があります。被監査者に、要求は受け入れられるが、第1段階の完全な監査を繰り返す必要があることを通知することは、第12段階以降に被監査者のISMSに大きな変更がない場合には、必要または合理的ではない可能性がある。参照：ISO/IEC 17021-1:2015 - 適合性評価 - マネジメントシステムの監査および認証を提供する機関に対する要求事項 - パート1：要求事項

説明
技術的セキュリティ対策とは、情報資産を不正アクセス、改ざん、開示、破壊から保護するために技術を用いる対策です。技術的セキュリティ対策の例としては、暗号化、ファイアウォール、ウイルス対策ソフトウェア、認証システム、アクセス制御メカニズムなどが挙げられます。暗号化とは、秘密鍵またはアルゴリズムを用いて情報を判読不可能な形式に変換する技術的セキュリティ対策です。
暗号化は、情報への不正アクセスや改ざんを防ぐことで、情報の機密性、完全性、および可用性を保護します。したがって、この質問に対する正解は「暗号化」です。参考文献：ISO/IEC 27000:2022、3.48項、ISO/IEC 27002:2022、10.1項。

説明
情報セキュリティマネジメントシステム（ISMS）の確立、実施、維持、および継続的な改善に関する要求事項を規定するISO/IEC 27001:2022では、5.2項において、経営幹部に対し、情報セキュリティ目標を設定するための枠組みとなる情報セキュリティポリシーを策定することが求められています1。また、6.2項では、経営幹部に対し、関連する機能およびレベルで情報セキュリティ目標が確実に確立されることが求められています1。したがって、経営幹部によって情報セキュリティポリシーと目標が策定されていることを確認する際には、ISMS監査人は、経営幹部の関与とコミットメントを示す関連文書および記録をレビューする必要があります。
モバイルデバイスに関するポリシーと目標が実装され、有効であることを確認するために、ISMS監査人は、ポリシーと目標がどのように伝達、監視、測定、分析、評価されているかを示す関連文書と記録をレビューする必要があります。また、監査人は、ポリシーに記載されている管理策の実装状況をサンプリングし、検証する必要があります。
モバイル デバイスのポリシーと目的の検証に関連する監査証跡の 3 つのオプションは次のとおりです。
* 内部監査報告書をレビューし、IT部門が監査を受けていることを確認する：このオプションは、モバイルデバイスとそのセキュリティ管理を担当するIT部門が、モバイルデバイスポリシーと目標の実施における適合性と有効性についてどのように評価されているかを示す証拠を提供できるため、重要です。内部監査報告書は、モバイルデバイスポリシーと目標に関連する不適合、是正措置、改善の機会を明らかにすることもできます。
* 勤務中の医療スタッフからモバイルデバイスをサンプリングし、資産台帳を用いてモバイルデバイス情報を検証する：このオプションは、居住者データの処理と保管に携わる医療スタッフが使用するモバイルデバイスが資産台帳にどのように登録され、物理的な保護が有効になっているかを示す証拠を提供できるため、重要です。これにより、モバイルデバイスポリシーに記載されている2つの管理策の実装と有効性を検証できます。
* 資産台帳を確認し、社内のすべてのモバイルデバイスが登録されていることを確認する：このオプションは、ISMSの適用範囲内にある社内のモバイルデバイスがどのように識別され、管理されているかを示す証拠を提供できるため、重要です。これにより、モバイルデバイスポリシーに記載されている管理策の1つが実装され、有効であることが確認できます。
監査証跡の他のオプションは、モバイルデバイスのポリシーや目標、あるいはそれらの実装や有効性とは関係がないため、それらの検証には関係ありません。例えば、
* 受付担当者にインタビューを行い、介護施設に入る前にすべての来訪者と従業員のバッグが検査されていることを確認する：このオプションは、モバイルデバイスに関するポリシーと目標がどのように実施されているか、あるいは有効であるかを示す証拠がないため、関連性がありません。これは、物理的なセキュリティやアクセス制御に関する他のポリシーや目標に関連している可能性がありますが、モバイルデバイスに特化したものではありません。
* 訪問者名簿を確認し、介護施設内で訪問者が個人の携帯電話を持ち込めないことを確認する：このオプションは、モバイルデバイスに関するポリシーと目標がどのように実施されているか、あるいは有効であるかを示す証拠がないため、関連性がありません。情報セキュリティの意識向上やコンプライアンスに関する他のポリシーや目標に関連している可能性がありますが、モバイルデバイスに特化したものではありません。
* デバイスのサプライヤーにインタビューを行い、ISMSポリシーを認識していることを確認する：このオプションは、モバイルデバイスのポリシーと目標がどのように実施されているか、あるいは有効であるかを示す証拠がないため、適切ではありません。サプライヤーとの関係における情報セキュリティに関する他のポリシーや目標に関連している可能性がありますが、モバイルデバイスに特有のものではありません。
* 情報セキュリティポリシーと情報セキュリティ目標の策定におけるトップマネジメントの関与を確認するためにインタビューを行う：このオプションは証拠を提供しないため、適切ではない。
* モバイルデバイスに関するポリシーと目標がどのように実施され、有効に機能しているか。これは、情報セキュリティに関するポリシーと目標が経営幹部によって確立されていることを確認することに関連している可能性がありますが、モバイルデバイスに限ったことではありません。
参照: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件

説明
予防的セキュリティ対策とは、潜在的なインシデントの発生を防止または抑止し、あるいは発生確率や影響を低減することを目的とした対策です。予防的セキュリティ対策には、脅威や脆弱性への露出を低減するためのポリシー、手順、デバイス、技術、またはアクションが含まれます。機密情報をデータセーフに保管することは、盗難、火災、洪水などの物理的な手段による不正アクセス、開示、改ざん、破壊から情報を保護するため、予防的セキュリティ対策の一例です。
ISO/IEC 27001:2022では、予防管理を「望ましくないインシデントを回避することでリスクを軽減する管理」と定義しています（3.19項参照）。参考資料：[CQIおよびIRCA認定 ISO/IEC 27001:2022 主任審査員研修コース]、ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項、[予防セキュリティとは？]