Explanation:
文を完成させる一つの方法は次の通りです。
「不適合への対応として講じられた措置の有効性をレビューする際に、監査人は問題の再発を防止するための変更の証拠を求める。」ISO/IEC 27001:2022の10.1項によれば、組織はISMSのパフォーマンスと有効性を評価し、方針と目標が組織の戦略的方向性と整合していることを確認し、ISMSの意図した成果を達成するための措置を講じることにより、ISMSの適合性、妥当性、および有効性を継続的に改善しなければならない。継続的改善を達成する方法の一つは、不適合を特定して是正し、その原因を排除して再発を防止するための措置を講じることである。
したがって、是正措置の有効性をレビューする際には、監査員は、組織が不適合の根本原因を分析し、ISMSに適切な変更を実施し、変更によって望ましい改善がもたらされ、問題の再発が防止されたことを検証したという証拠を探す必要があります。参考文献：= ISO/IEC 27001:2022、10.1項「不適合及び是正措置」、ISO/IEC 27001:2022、10.2項「継続的改善」、PECB候補者ハンドブック ISO 27001 主任監査員、19ページ「監査プロセス」、PECB候補者ハンドブック ISO 27001 主任監査員、21ページ「監査所見」

ISO/IEC 27001:2022の6.2項によると、情報セキュリティ目標とは、組織が情報セキュリティマネジメントシステム（ISMS）を用いて達成しようとする具体的な成果です。この規格では、情報セキュリティ目標は以下の基準を満たす必要があると規定されています。
適切に伝達されなければならない（A）：組織は、関係する社内外の関係者に対し、情報セキュリティ目標とその達成における役割と責任について周知徹底する必要があります。これは、情報セキュリティに対する意識、コミットメント、そして説明責任の醸成に役立ちます。この基準は、ISO/IEC 27001:2022の6.2.2項に関連しています。
文書化された情報として利用可能でなければならない（B）：組織は、情報セキュリティ目標に関する文書化された情報（その範囲、レベル、指標、および期間を含む）を維持し、保持しなければならない。これは、情報セキュリティの証拠、トレーサビリティ、および一貫性を確保するために役立つ。この基準は、ISO/IEC 27001:2022の6.2.1項に関連している。
情報セキュリティポリシーとの整合性が確保されていること（G）：組織は、情報セキュリティ目標が情報セキュリティポリシーと整合していることを確実にする必要があります。情報セキュリティポリシーは、組織の情報セキュリティに関する意図と方向性を最高レベルで表明するものです。これは、戦略目標と組織の状況をサポートするのに役立ちます。この基準は、ISO/IEC 5.2項に関連しています。
27001:2022。
達成可能でなければならない (H)：組織は、利用可能なリソース、能力、および制約を考慮し、情報セキュリティ目標が現実的かつ達成可能であることを保証する必要があります。これは、非現実的または実現不可能な期待を設定することを回避し、情報セキュリティの進捗状況とパフォーマンスを監視および測定するのに役立ちます。この基準は、ISO/IEC 27001:2022の6.2.1項に関連しています。
参考文献:
ISO/IEC 27001:2022、情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要件1 PECB候補者ハンドブック ISO/IEC 27001 主任審査員2 ISO 27001:2022 主任審査員 - PECB3 ISO 27001:2022 認定ISMS主任審査員 - Jisc4 ISO/IEC 27001:2022 主任審査員移行トレーニングコース5 ISO 27001 - 情報セキュリティ主任審査員コース - PwCトレーニングアカデミー6

説明
これはソーシャルエンジニアリング脅威の一例です。ソーシャルエンジニアリング脅威とは、人を操ったり騙したりして機密情報を漏洩させたり、不正な行動をとらせたり、情報資産のセキュリティを侵害したりする人為的な脅威です。ソーシャルエンジニアリングの手法は、信頼、好奇心、恐怖、貪欲といった、人々の心理的、感情的、行動的な脆弱性を悪用します。ヘルプデスクの担当者を名乗ってパスワードを尋ねる人物は、あなたを騙して認証情報を入手しようとしています。認証情報を使用すると、あなたのアカウントやシステムに無断でアクセスされる可能性があります。したがって、正解はCです。参考文献：ISO/IEC 27000:2022、第3.25項、「ソーシャルエンジニアリングとは？ | 定義と例」。

マネジメントシステム監査のガイドラインであるISO 19011:2018の6.7項では、監査チームリーダーは、前回の監査で特定された不適合に対する被監査者の是正措置の実施状況と有効性を検証するために、フォローアップ監査を実施することが求められています1。フォローアップ監査は、初回監査と同じ原則とプロセスに従って実施され、不適合の状況と残存する問題点に関する結論に至る必要があります1。したがって、フォローアップ監査を実施する際には、ISMS監査員は以下の点を考慮する必要があります。
未解決の軽微な不適合を次回のサーベイランス審査で処理することを推奨する: この処置は、被監査者が重大な不適合を含めたほとんどの不適合を解消し、未解決の軽微な不適合が 1 件のみ残っているという事実を反映しているため適切です。軽微な不適合とは、ISO/IEC 27001:2022 の 1 つ以上の要求事項を達成できなかったこと、または ISMS プロセスが意図した出力を達成する能力について重大な疑義を生じさせるものの、全体的な有効性や適合性には影響を及ぼさない状況と定義されます2。したがって、この発見事項は、合理的な時間枠内に適切な是正処置によって対処される限り、認証の継続を妨げたり排除したりすることはありません。審査員は、未解決の軽微な不適合を次回のサーベイランス審査で処理することを推奨する必要があります。サーベイランス審査は、認証機関が ISMS の継続的な適合性と有効性を確認するために実施する定期監査です3。
残存する不適合をどのように、いつまでに、そしてどのようにクリアするかを監査対象者／監査依頼者と合意する：これは、前回の監査で特定された不適合に対する是正措置を実施するという監査対象者のコミットメントと能力を反映するため、適切な措置です。監査人は、残存する不適合に対する現実的で達成可能かつ効果的な是正措置計画について、明確な期限と検証方法を含め、監査対象者／監査依頼者と合意する必要があります。また、この合意内容をフォローアップ監査報告書1に記載する必要があります。
未解決の不適合に関する決定事項を監査プログラム管理者に報告する：これは、監査人がフォローアップ監査の実施と報告において体系的かつ一貫したアプローチをとったことを反映しているため、適切です。監査人は、未解決の不適合に関する決定事項（次回のサーベイランス監査で不適合の解決を推奨する、被監査者／監査依頼者と是正措置計画について合意するなど）を監査プログラム管理者に報告する必要があります。また、監査人は、その決定事項を裏付ける十分な情報と証拠を提供する必要があります1。
組織が指摘された不適合を解消することに尽力していることを示したため、フォローアップ監査を終了してください。これは、組織がフォローアップ監査で満足のいく結果を達成したという事実を反映しているため、適切な処置です。組織は、指摘された不適合のほとんどに対して効果的な是正措置を実施し、残りの1件についても計画に合意することで、指摘された不適合を解消することに尽力していることを示したため、監査人はフォローアップ監査を終了すべきです。また、監査人は、フォローアップ監査の結論を被監査者／監査依頼者およびその他の関係者に伝達する必要があります1。

*監査結果: 収集された監査証拠を事前に定められた監査基準に照らして評価した結果です。
*監査証拠: 監査結果を裏付ける、インタビュー、観察、文書レビューなどを通じて収集された客観的かつ検証可能な情報。
*監査基準: 監査のベンチマークとして使用される ISMS の標準、ポリシー、手順、または要件。
プロセス: 監査人は収集した監査証拠を監査基準と比較し、適合か不適合かを判断して、監査結果を生成します。
参考文献:
*ISO/IEC 27001:2022、セクション9.2（内部監査）：監査証拠を収集し、不適合を文書化するプロセス（監査結果の根拠となるもの）について説明します。
*ISO 19011:2018 監査管理システムのガイドライン: 監査プロセスのより広範なフレームワークを提供し、調査結果の生成における監査証拠の役割を強調しています。