フォローアップ監査の目的は、前回の監査で特定された不適合に対して被監査者が実施した是正措置の完了と有効性を検証することです1。フォローアップ監査は、初回監査後に実施される監査の一種であり、不適合が発見され、是正措置が合意された特定の領域に焦点を当てます2。フォローアップ監査は、不適合の性質と重大性、および監査プログラムの目的3に応じて、個別の監査として、または予定されている監査の一部として実施できます。
その他の選択肢は、フォローアップ監査の目的ではなく、他の種類の監査の目的です。例えば、
*オプション A はパフォーマンス監査の目的であり、意図した結果を達成するための管理システムの有効性を評価するタイプの監査です4。
*オプション B はコンプライアンス監査の目的であり、マネジメントシステムが ISMS 目標 5 などの指定された要件に準拠しているかどうかを確認する監査の一種です。
*オプション C はプロセス監査の目的であり、リスク処理プロセスなどの管理システム内の特定のプロセスの入力、アクティビティ、出力、および相互作用を検査するタイプの監査です。
参考文献: 1: ISO 19011:2018、6.7; 2: ISO 19011:2018、3.7; 3: ISO 19011:2018、5.5.2; 4: ISO 19011:2018、3.6; 5: ISO 19011:2018、3.5; : ISO 19011:2018、3.4; : ISO 19011:2018; : ISO 19011:2018; : ISO 19011:2018; : ISO 19011:2018; : ISO 19011:2018; : [ISO 19011:2018]

正しいオプションは次のとおりです。
* 不適合（NC）があります。組織のアクセス制御体制は、退職した個人が介護施設のICTシステムへのアクセスを許可されているため、効果的に機能していません。これは、統制A.5.15に準拠していません。（B）：統制A.5.15では、組織が安全なログオン手順を実装し、ユーザーのアクセス権を管理することを要求しているため、この選択肢は正解です。組織は、許可されたユーザーのみがICTシステムにアクセスできるようにし、ユーザーのステータスが変わった場合はアクセス権を取り消したり変更したりする必要があります。9か月前に退職したスコットが、依然としてSCMにアクティブなアカウントを持ち、ソースコードをチェックアウトできるという事実は、アクセス制御体制の不備と統制A.5.15への不適合を示しています。
* 不適合（NC）があります。ITセキュリティ管理者は、スコットのユーザーアカウントがSCMから削除されたことを確認しておらず、スコットの退職後にユーザー登録解除プロセスを完了していませんでした。これは、9.1項および管理策A.5.15に準拠していません。：9.1項では、組織がISMSのパフォーマンスと有効性を監視、測定、分析、評価することを要求しているため、この選択肢は正解です。組織は、ISMSの要件と目標が満たされていること、そしてISMSが継続的に改善されていることを検証するためのプロセスと指標を備える必要があります。
組織は、監視と測定の結果を文書化し、伝達することも確実に行う必要があります。ITセキュリティ管理者がユーザー登録解除手順に従わず、スコット氏に対する例外事項を文書化または伝達しなかったという事実は、監視と測定のプロセスに欠陥があり、9.1項および管理策A.5.15に不適合であることを示しています。
* 不適合（NC）があります。スコットが毎月短期間のみ再雇用されていたにもかかわらず、組織は彼のアカウントを開いたままにしておくことに関連するセキュリティリスクを特定できていません。これは8.2項に準拠していません。（F）：8.2項では、組織が情報セキュリティリスク管理プロセスを確立し、維持することを要求しているため、この選択肢が正解です。
組織は、情報セキュリティリスクを特定し、分析・評価し、リスク基準とリスク対応オプションに従ってリスクに対処する必要があります。また、リスクとリスク対応計画を定期的に監視・レビューし、その結果を文書化する必要があります。スコットによるSCMおよびソースコードへのアクセスに関連するセキュリティリスク（情報の不正な開示、変更、削除など）を組織が特定しなかったという事実は、リスク管理プロセスの不備を示しており、8.2項への不適合を示しています。

不適合レポートの提出を促す 3 つの監査結果は次のとおりです。
*組織は、情報セキュリティリスクを特定した順に処理しています。
*組織のリスク評価基準は、経営陣によって検討および承認されていません。
*組織の情報セキュリティリスク評価プロセスは、各リスクの影響評価のみに基づいています。ISO/IEC 27001:2022の6.1.2項によれば、組織は組織の状況に合致し、全体的なリスク管理アプローチ1と整合した情報セキュリティリスク管理プロセスを確立し、維持する必要があります。このプロセスには、以下の手順が含まれます。
*リスク評価基準を確立する。これは経営トップの承認が必要であり、組織のリスク許容度と目標を反映したものである必要がある2
*情報セキュリティリスクを特定する。資産、脅威、脆弱性、影響、可能性を考慮する必要がある3
*情報セキュリティリスクを分析し、リスクのレベルを決定し、リスク基準と比較する必要がある4
*情報セキュリティリスクを評価し、リスクの優先順位を決定し、対応が必要かどうかを判断する必要があります。5 したがって、監査結果B、E、およびFは、組織が情報セキュリティリスク管理プロセスの必要な手順に従っていないことを示し、したがって標準に準拠していないことを示しています。
その他の監査所見は、組織の状況や正当性に応じて許容される可能性があるため、必ずしも不適合とはみなされません。例えば、
*監査結果Aは、組織がその範囲と目的に関連する追加の情報セキュリティリスクを特定して対処し、その根拠を文書化している場合に受け入れられる可能性がある6
*監査結果Cは、組織が情報セキュリティリスク管理プロセスに明確な役割と責任を割り当て、リスク所有者がリスクを管理する権限と能力を持っていることを確認している場合に受け入れられる場合があります7
*監査結果Dは、組織が絵文字ベースのリスク分類の意味と影響を定義し、伝達し、それがリスク基準とリスク処理プロセスと一致していることを確認している場合に受け入れられる可能性があります8
*監査結果Gは、組織が情報セキュリティリスクの確率について離散値の使用を正当化し、それらが現実的であり、リスク基準およびリスク分析方法と一致していることを確認した場合、受け入れられる可能性がある。9
*監査結果Hは、組織が運用上および戦略上の情報セキュリティリスクを評価するための異なるシステムを確立および維持し、それらが全体的なリスク管理アプローチおよびISMS目標と統合され整合していることを保証している場合に受け入れられる可能性があります10 参照: 1: ISO/IEC 27001:2022、6.1.2; 2: ISO/IEC 27001:2022、6.1.2 a); 3: ISO/IEC 27001:2022、6.1.2 b); 4: ISO/IEC 27001:2022、6.1.2 c); 5: ISO/IEC 27001:2022、6.1.2 d); 6: ISO/IEC 27001:2022、A.0.2; 7:
ISO/IEC 27001:2022、5.3; 8: ISO/IEC 27001:2022、6.1.2 a) 2); 9: ISO/IEC 27001:2022、6.1.2 c) 2); 10:
ISO/IEC 27001:2022、6.1.2 a) 1); : ISO/IEC 27001:2022; : ISO/IEC 27001:2022; : ISO/IEC 27001:2022; :
ISO/IEC 27001:2022; : ISO/IEC 27001:2022; : ISO/IEC 27001:2022; : ISO/IEC 27001:2022; : ISO/IEC
27001:2022; : ISO/IEC 27001:2022; : ISO/IEC 27001:2022