不適合が重大な場合には、フォローアップ監査を実施することができます。これは、重大な不適合とは、組織のマネジメントシステムが意図した結果を達成する能力に重大な疑義を生じさせる状況であり、したがって、即時の是正措置が必要となるためです。フォローアップ監査は、是正措置の有効性とマネジメントシステムの適合性を検証するために必要です12。
不適合が軽微な場合、フォローアップ監査を実施することができます。これは、軽微な不適合とは、マネジメントシステムが意図した結果を達成する能力に影響を与えないが、規定された要求事項からの逸脱を示す状況であるためです。フォローアップ監査は、是正処置の実施状況とマネジメントシステムの改善状況を確認するために実施されることがあります12。
フォローアップ監査の結果は、経営トップと、不適合が最初に特定された監査を実施した監査チームリーダーに報告されるべきです。これは、経営トップがマネジメントシステムの有効性と継続的改善を確保する責任を負い、監査チームリーダーが監査プロセスと監査結論に責任を負うためです。フォローアップ監査報告書には、不適合の状況と被監査者が講じた是正措置に関する客観的な証拠が提示されるべきです13。
フォローアップ監査の結果は、監査プログラムの管理者と監査依頼者に報告する必要があります。これは、監査プログラムの管理者が監査活動の計画、実施、監視、およびレビューの責任を負う一方、監査依頼者は監査を依頼する組織または個人であるためです。フォローアップ監査報告書には、フォローアップ監査の結果と、被監査機関の認証ステータスの変更について、監査依頼者と監査依頼者に通知する必要があります13。
参照：
ISO 19011:2022 マネジメントシステム監査ガイドライン
ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 ISO/IEC 17021-1:2022 適合性評価 - マネジメントシステムの監査および認証を行う機関に対する要求事項 - パート1：要求事項

説明
車両インシデントは情報セキュリティ攻撃の一種ではありません。車両インシデントとは、車両またはその運転手が人または財産に損害または傷害を与える事象を指します。車両インシデントは、車両によって輸送またはアクセスされる情報またはシステムの可用性または整合性に影響を与える場合、情報セキュリティに影響を与える可能性がありますが、情報セキュリティに対する意図的または悪意のある攻撃ではありません。
法的インシデントは、情報やシステムの機密性や完全性を損なう可能性のある法的訴訟や紛争を伴う情報セキュリティ攻撃の一種です。技術的脆弱性は、情報やシステムの機密性、完全性、または可用性を損なう可能性のあるソフトウェアまたはハードウェアの弱点や欠陥を悪用する情報セキュリティ攻撃の一種です。プライバシーインシデントは、個人情報や機密情報への不正アクセスや漏洩を伴う情報セキュリティ攻撃の一種で、情報やシステムの機密性や完全性を損なう可能性があります。参考文献：CQI & IRCA ISO
27001:2022 主任審査員コース ハンドブック、25 ページ。: [ISO/IEC 27001 主任審査員 - PECB]、13 ページ。

Explanation:
ISO 19011:2018 に準拠した監査ライフサイクルのステップの正しい順序は次のとおりです。
* ステップ1: 監査の開始
* ステップ2: 監査の準備
* ステップ3: 監査の実施
* ステップ4: 監査報告書の作成と配布
* ステップ5: 監査の完了
* ステップ6: 監査のフォローアップ
この順序は、監査目的、範囲、基準の設定から是正措置の実施と有効性の検証に至るまでの監査活動の論理的な順序を反映しています。ただし、ISO 19011:2018では、監査の性質と複雑さに応じて、一部の監査活動が反復的または同時進行的になる可能性があることも認識されています。例えば、監査中に新たな情報や変更が発生した場合、監査準備と監査実施が重複することがあります。同様に、監査直後に是正措置が検証された場合、監査フォローアップは監査完了と統合される可能性があります。したがって、監査ライフサイクルは、各監査の具体的な状況とニーズに合わせて調整する必要があります。

説明
情報セキュリティは、信頼の構築と維持に直結します。信頼とは、情報および情報処理施設が、機密性、完全性、または可用性を損なう可能性のある不正または悪意のある行為から保護されているという確信です。信頼は、組織の情報やサービスに依存する顧客、パートナー、サプライヤー、従業員、その他の利害関係者との関係を構築し、維持するために不可欠です。また、信頼は、法的、規制、契約上の義務の遵守、そして組織自身の情報セキュリティ目標とポリシーの達成においても重要な要素です。
ISO/IEC 27001:2022は、情報セキュリティを「情報の機密性、完全性、および可用性の保持」（3.28項参照）と定義し、「情報セキュリティ管理システムの目的は、情報の信頼性に影響を与える活動を管理するための枠組みを提供することである」（「はじめに」参照）と述べています。参考資料：CQIおよびIRCA認定ISO/IEC 27001:2022主任審査員養成コース、ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、信頼とは何か？

説明
ISO/IEC 27001:2022のA.11.1.1項によれば、組織は、施設および情報資産への不正アクセス、損害、または妨害を防止するために、物理的および環境的セキュリティ対策を実施する必要があります。こうした対策には、アクセス制御システム、CCTVカメラ、警備員などがあり、これらは物理的セキュリティの一形態です。物理的セキュリティは、自然災害、火災、水、粉塵などから情報資産を保護する環境セキュリティや、ビジネスニーズとセキュリティポリシーに基づいて情報資産へのアクセス権を制限するアクセス制御とは異なります。参考文献：CQIおよびIRCA認定ISO/IEC 27001:2022主任審査員（情報セキュリティマネジメントシステム）コースハンドブック、57ページ、[ISO/IEC 27001:2022]、A.11.1.1項。