情報分類の目的は、情報をその機密性と組織にとっての価値に応じて構造化することです。 情報分類は、情報の種類ごとに適切な保護レベルと取り扱い方法を決定するのに役立ちます。 情報を認識しやすくするラベルを貼ることは分類の目的ではなく、分類を実施する方法です。 モバイル デバイスの取り扱い方法に関するマニュアルの作成は、情報分類ではなく、情報セキュリティ ポリシーと手順に関係します。 参照: : CQI & IRCA ISO 27001:2022 主任審査員コース ハンドブック、33 ページ。 : CQI & IRCA ISO 27001:2022 主任審査員コース ハンドブック、34 ページ。 : CQI & IRCA ISO 27001:2022 主任審査員コース ハンドブック、35 ページ。 : CQI & IRCA ISO 27001:2022 主任審査員コース ハンドブック、36 ページ。

監査方法とは、監査人が監査証拠を収集および評価するために使用する技術と手順です。
監査手法は、人間とのやり取りを伴うものと伴わないものの2つのカテゴリーに分類できます。人間とのやり取りを伴う手法とは、インタビュー、アンケート、調査、観察、ウォークスルーなど、監査対象者また​​はその他の関係者との直接的または間接的なコミュニケーションを必要とする手法です。人間とのやり取りを伴わない手法とは、文書レビュー、データ分析、遠隔監視など、監査対象者また​​はその他の関係者とのコミュニケーションを必要としない手法です。
人間の介入を必要としない監査方法の例は次のとおりです。
監査準備として監査対象者の手続きをレビューする：この方法では、監査対象者の文書化された情報（ポリシー、プロセス、記録、報告書など）を精査し、監査基準を満たす上での適切性と有効性を検証します。監査人は、この方法を実行するために監査対象者やその他の関係者とやり取りする必要はありません。
監査対象者のサーバーにリモートアクセスしてデータを分析する：この方法では、パフォーマンス指標、ログ、メトリクス、統計などの監査対象者のデータにアクセスして処理し、監査基準を満たす正確性と信頼性を検証します。監査人は、この方法を実行するために監査対象者や他の関係者とやり取りする必要はありません。
参考文献:
ISO/IEC 27001:2022 主任監査人（情報セキュリティ管理システム）の目標と内容（Quality.org および PECB より） ISO 19011:2018 管理システム監査のガイドライン [セクション 6.2.2]

予防的セキュリティ対策とは、潜在的なインシデントの発生を防止または抑止すること、あるいは発生確率や影響を低減することを目的とした対策です。予防的セキュリティ対策には、脅威や脆弱性への露出を低減するためのポリシー、手順、デバイス、技術、またはアクションが含まれます。機密情報をデータセーフに保管することは、盗難、火災、洪水などの物理的な手段による不正アクセス、開示、改ざん、破壊から情報を保護するため、予防的セキュリティ対策の一例です。ISO/IEC 27001:2022では、予防管理を「望ましくないインシデントを回避することでリスクを軽減する管理」と定義しています（3.19項参照）。参考資料：[CQI & IRCA認定 ISO/IEC 27001:2022 主任審査員研修コース]、ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項、[予防的セキュリティとは？]

情報セキュリティマネジメントシステム（ISMS）の確立、実装、維持、および継続的な改善に関する要求事項を規定するISO/IEC 27001:2022によれば、条項8.1では、組織はISMS要件を満たすために必要なプロセスを計画、実装、および管理することが求められています2。これには、何を行う必要があるか、どのように行うか、誰がいつ行うか、どのようなリソースが必要か、パフォーマンスをどのように評価するかなどを決定することが含まれます2。したがって、通信事業者の第三者監視監査を実施するISMS監査人が、最近のISMSアップグレードによって作業指示書へのアクセスが制限されたため、初期設定テストに不合格となり、再プログラミングのために返却されるスイッチの数が大幅に増加していることに気付いた場合、これはISO/IEC 27001:2022の条項8.1に違反していることを示しています。組織は、情報セキュリティと品質を確保するための運用プロセスを効果的に計画および管理できていないのです2。その他の選択肢は、この情報のみに基づいて不適合を指摘する適切な条項ではありません。たとえば、7.5 項では、ISMS で要求されるか組織がその有効性のために必要であると決定する文書化された情報を扱っていますが2、作業指示書のコピー数やフォーマットがいくつ必要であるかは指定されていません。10.2 項では、特定された問題またはインシデントへの対応としての不適合および是正処置を扱っていますが2、運用プロセスでそのような問題またはインシデントを防止または回避する方法については触れていません。7.3 項では、組織の管理下で作業を行う人々の ISMS ポリシー、目的、役割、責任の認識を扱っていますが2、作業指示書にアクセスしたりそれに従ったりする方法とは関係がありません。7.2 項では、組織の管理下で作業を行う人々の ISMS パフォーマンスに影響する力量を扱っていますが2、力量の欠如が不十分な作業指示書によって引き起こされることを意味するものではありません。7.4 項では、内部および外部の利害関係者間での ISMS に関するコミュニケーションを扱っていますが2、組織内で運用情報が伝達される方法については扱っていません。参照: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件