説明
コンピュータのスクリーンショット 説明は自動的に生成されました

* 情報源を特定する（すでに提供済み）
* 監査証拠の収集: 文書、記録、インタビュー、観察などのさまざまな情報源から情報を収集します。
* 利用可能なデータのサンプリング: 利用可能な情報が膨大にあるため、監査人は通常、サンプリング手法を使用して、詳細な調査を行うための代表的なデータを選択します。
* 客観的な証拠の検証: 収集された証拠の正確性、完全性、信頼性を確認します。
* 監査基準に対する証拠の評価: 監査人は収集した証拠を確立された基準 (標準、ポリシー、手順など) と比較して、コンプライアンスと有効性を評価します。
* 監査結果の記録: 観察、結論、推奨事項などの評価結果を文書化します。
* 監査結論の作成: 記録された調査結果に基づいて、監査人は管理システムの状態に関する全体的な結論を策定します。
したがって、正しい順序は次のようになります。
1. 情報源の特定 2. 監査証拠の収集 3. 利用可能なデータのサンプリング 4.
客観的証拠の検証 5. 監査基準に照らして証拠を評価する 6. 監査結果の記録 7.
監査結論の作成

正解はDです。不適合（NC）があります。サービスマネージャーはソフトウェアセキュリティ管理手順に準拠していません。（8.1項、管理A.8.30に関連）。ソフトウェアセキュリティ管理手順に従い、テスト結果を承認すべきだったのはITマネージャーであり、サービスマネージャーではありませんでした。不適合となったセキュリティテストを受け入れるというサービスマネージャーの決定は、組織が採用した「セキュリティ・バイ・デザイン」および「セキュリティ・バイ・デフォルト」の原則にも違反しています。その他の選択肢は誤りか無関係です。組織と開発者は受け入れテストを実施しましたが、不合格でした（B、C）。サービスマネージャーがサービスを継続するという決定は、不適合（A）を正当化するものではありません。参考文献：1：ISO/IEC 27001:2022、情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項、8.1項 \n2：PECB認定ISO/IEC 27001主任監査員試験準備ガイド、ドメイン5：ISO/IEC 27001監査の実施

説明

第二者監査の各参加者の正しい責任は次のとおりです。
* 監査報告書の作成：監査チームリーダー。監査チームリーダーは、監査活動の調整、監査対象者および顧客とのコミュニケーション、監査結果と結論をまとめた監査報告書の作成と提出に責任を負います1。
* 監査中に使用する監査チェックリストを作成する：監査人。監査人は、監査プロセスを進めるためのツールとして監査チェックリストを使用し、監査基準の関連するすべての側面が網羅されていることを確認しながら、監査中に客観的な証拠を収集および検証する責任を負います1。
* 監査人をサポートし、経験に関するフィードバックを提供する：研修監査人。研修監査人とは、経験豊富な監査人の監督下で監査の実施方法を学んでいる人です。研修監査人は、監査活動の観察と参加を通じて監査人をサポートし、監査人のスキルと能力の向上に役立つ経験に関するフィードバックを提供します1。
* 合意された期限内に監査結果のフォローアップを行う：監査対象者。監査対象者とは、顧客または顧客に代わって第三者によって監査を受ける組織です。監査対象者は、監査人へのアクセスと協力を提供し、必要に応じて是正措置または改善策を実施することにより、合意された期限内に監査結果のフォローアップを行う責任を負います1。
* 監査に関する独立した説明を提供しますが、監査には参加しません：オブザーバー。オブザーバーとは、監査チームに同行しますが、監査活動には参加しません。オブザーバーは、顧客、規制当局、またはその他の利害関係者の代表者となる場合があります。オブザーバーは監査に関する独立した説明を提供しますが、監査プロセスや結果に干渉したり、影響を与えたりすることはありません1。
* 監査人に同行するが、監査には参加しない：ガイド。ガイドとは、監査対象者から任命され、監査中に監査チームを支援する人物です。ガイドは、監査人を様々な場所に同行したり、情報や担当者へのアクセスを支援したり、監査人の要請に応じて説明や説明を提供したりすることができます。ガイドは監査に参加したり、監査結果に影響を与えたりすることはありません1。

フォローアップ監査、特に情報セキュリティ管理システム (ISMS) の文脈と ISO 19011:2018 で提供されるガイドラインの理解に基づいて、トレーニング中の監査人が正しく回答したリストの 4 つの質問は次のとおりです。
B）Q: フォローアップ監査では、不適合が効果的に対処されていることを確認する必要がありますか？A: はい。正解です。フォローアップ監査の主な目的は、前回の監査で特定された不適合が効果的に対処され、実施された是正措置が適切かつ効果的であることを確認することです。
D）Q: フォローアップ監査の目的は、是正措置、是正処置、および改善の機会の完了を確認することですか？A: はい。フォローアップ監査は、是正措置および是正処置の完了と有効性を確認することを目的としています。また、初回監査で特定された改善機会の実施状況も考慮される場合があります。
E）Q: フォローアップ監査はすべての監査に必要ですか？A: いいえ。正解です。フォローアップ監査はすべての監査に自動的に必要というわけではありません。通常、フォローアップ監査は、前回の監査で不適合やその他の重大な問題が特定され、是正措置の実施状況と有効性を検証する必要がある場合に実施されます。
H) Q: フォローアップ監査の結果に基づいて、必要に応じて再度フォローアップ監査を実施することは可能ですか？ A: はい、その可能性はあります。フォローアップ監査で是正措置が十分に効果を発揮していないことが判明した場合、または新たな問題が特定された場合は、再度フォローアップ監査を実施する必要があるかもしれません。
研修中の監査員によるその他の回答には、明確化または修正が必要です。例えば、フォローアップ監査は主に以前に特定された不適合と是正措置に焦点を当てますが、観察された場合は新たな不適合が発見される可能性があります(A)。改善の機会は、通常監査の範囲でより多く考慮されますが、フォローアップ監査は是正措置に焦点を絞ります(C)。また、フォローアップ監査の結果は通常、監査チームリーダーと監査クライアントの両方に報告され(FおよびG)、透明性と説明責任が確保されます。
研修中の審査員が正しく回答した 4 つの質問は、B、D、E、および H です。これらの質問と回答は、ISO 19011:2018 の 6.712 項に指定されているフォローアップ審査の定義および目的と一致しています。フォローアップ審査は、前回の審査の結果として行われた是正処置の完了および有効性を検証するために実施されます (B、D)。フォローアップ審査はすべての審査で必須ではありませんが、審査プログラム、審査クライアント、またはその他の利害関係者によって要求される場合があります (E)。是正処置が満足のいくものでないか、合意された時間枠内に完了していない場合、フォローアップ審査の結果、別のフォローアップ審査が行われることがあります (H)。その他の質問と回答は誤っているか、無関係です。フォローアップ審査は、新たな不適合を特定することを目的としていないため、それを行うべきではありません (A)。フォローアップ審査では、前回の審査のアウトプットである是正処置だけでなく、合意された改善の機会も考慮する必要があります。フォローアップ監査の結果は、監査依頼人だけでなく、前回の監査を実施した監査チームリーダー（F、G）などの関係者にも報告する必要があります。参考文献：1：ISO 19011:2018、マネジメントシステム監査のガイドライン、6.7項 \n2：PECB認定ISO/IEC 27001主任監査員試験準備ガイド、ドメイン6：ISO/IEC 27001監査の終了

説明
情報セキュリティ管理システム（ISMS）の確立、実装、維持、および継続的な改善に関する要求事項を規定するISO/IEC 27001:2022では、条項7.2において、組織はISMSのパフォーマンスに影響を与える業務を組織の管理下で実施する人員の必要な力量を判断し、必要な力量を取得または維持するためにトレーニングを提供するなどの措置を講じることが求められています1。管理策A.6.3では、組織はすべての従業員と請負業者が情報セキュリティの脅威と懸念、それぞれの責任と賠償責任を認識し、この点に関する組織のポリシーと手順をサポートする準備ができていることを保証することが求められています2。したがって、ISMS監査人が情報セキュリティインシデントトレーニングの有効性を改善できると判断した場合、これは条項7.2と管理策A.6.3に関連する改善の機会（OFI）を示しています。
ISO/IEC 27001:2022 によれば、9.1 項では組織に対し、ISMS のパフォーマンスと有効性を監視、測定、分析、評価することが求められています1。管理策 A.5.24 では、組織に対し、情報セキュリティに関する事象および弱点を報告するための手順を定義および適用することが求められています2。したがって、ISMS 監査人がサンプリングインタビューの結果に基づき、インタビュー対象者の誰も、担当者の役割と責任を含むインシデント管理手順の報告プロセスを説明できなかったと判断した場合、これは 9.1 項および管理策 A.5.24 に適合していない不適合（NC）を示します。
その他の選択肢は、与えられた情報に基づいて監査結果を準備するための正しい選択肢ではありません。例えば、情報セキュリティの弱点、イベント、およびインシデントが報告されている場合、これは9.1項および管理A.5.24に準拠しているため、不適合にはなりません。情報セキュリティ対応トレーニングが実施され、その有効性が評価されている場合、これは7.2項および管理A.6.3に準拠しているため、不適合にはなりません。情報セキュリティインシデントトレーニングが不合格だった場合、これは必ずしも7.2項または管理A.6.3への不適合を示すとは限らないため、不適合にはなりません。情報セキュリティの弱点、イベント、およびインシデントが報告されている場合、これはすでに9.1項および管理A.5.24に準拠しているため、改善の機会はありません。参照: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、ISO/IEC 27002:2013 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理のための実践規範