ステージ2の第三者監査の主な目的は、組織のマネジメントシステムの実施状況と有効性を評価し、規格12の要求事項に対する不適合を特定することです。その他の選択肢は、ステージ1の監査の目的（A、D）または監査範囲の特定の側面（B）のいずれかです。参考文献：1：ISO/IEC 27006:2022、情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステムの監査および認証を行う機関に対する要求事項、第1章第3節
9.2 \n2: PECB 認定 ISO/IEC 27001 主任審査員試験準備ガイド、ドメイン 4: ISO/IEC 27001 審査の準備

フォローアップ監査、特に情報セキュリティ管理システム (ISMS) の文脈と ISO 19011:2018 で提供されるガイドラインの理解に基づいて、トレーニング中の監査人が正しく回答したリストの 4 つの質問は次のとおりです。
B: Q: フォローアップ監査では、不適合が効果的に対処されていることを確認する必要がありますか？ A: はい。正解です。フォローアップ監査の主な目的は、前回の監査で特定された不適合が効果的に対処され、実施された是正措置が適切かつ効果的であることを確認することです。
D: Q: フォローアップ監査の目的は、是正措置、是正処置、および改善の機会の完了を確認することですか？ A: はい。フォローアップ監査は、是正措置および是正処置の完了と有効性を確認することを目的としています。また、初回監査で特定された改善機会の実施状況も検討する場合があります。
E: Q: すべての監査にフォローアップ監査は必要ですか？ A: いいえ。正解です。フォローアップ監査はすべての監査に自動的に必要というわけではありません。通常、フォローアップ監査は、前回の監査で不適合やその他の重大な問題が特定され、是正措置の実施状況と有効性を検証する必要がある場合に実施されます。
H: Q: フォローアップ監査の結果に基づいて、必要に応じて再度フォローアップ監査を実施することは可能ですか？ A: はい、その可能性はあります。フォローアップ監査で是正措置が十分に効果を発揮していないことが判明した場合、または新たな問題が特定された場合は、再度フォローアップ監査を実施する必要があるかもしれません。
研修中の監査員によるその他の回答には、明確化または修正が必要です。例えば、フォローアップ監査は主に以前に特定された不適合と是正措置に焦点を当てますが、観察された場合は新たな不適合が発見される可能性があります(A)。改善の機会は、通常監査の範囲でより多く考慮されますが、フォローアップ監査は是正措置に焦点を絞ります(C)。また、フォローアップ監査の結果は通常、監査チームリーダーと監査クライアントの両方に報告され(FおよびG)、透明性と説明責任が確保されます。
研修中の審査員が正しく回答した 4 つの質問は、B、D、E、および H です。これらの質問と回答は、ISO 19011:2018 の 6.712 項に指定されているフォローアップ審査の定義および目的と一致しています。フォローアップ審査は、前回の審査の結果として行われた是正処置の完了および有効性を検証するために実施されます (B、D)。フォローアップ審査はすべての審査で必須ではありませんが、審査プログラム、審査クライアント、またはその他の利害関係者によって要求される場合があります (E)。是正処置が満足のいくものでないか、合意された時間枠内に完了していない場合、フォローアップ審査の結果、別のフォローアップ審査が行われることがあります (H)。その他の質問と回答は誤っているか、無関係です。フォローアップ審査は、新たな不適合を特定することを目的としていないため、それを行うべきではありません (A)。フォローアップ審査では、前回の審査のアウトプットである是正処置だけでなく、合意された改善の機会も考慮する必要があります。フォローアップ監査の結果は、監査依頼者だけでなく、前回の監査を実施した監査チームリーダーなど、他の関係者にも報告する必要がある（F、G）。参考文献：1：ISO
19011:2018、マネジメントシステムの監査に関するガイドライン、6.7項 \n2: PECB認定ISO/IEC 27001主任監査員試験準備ガイド、ドメイン6：ISO/IEC 27001監査の終了

監査の文脈における重要性には、法令遵守や契約遵守に関連するものも含め、どの程度のレベルの不適合または不履行が監査の結論に影響を及ぼすほど重大であるかを評価することが含まれます。
重要性を判断する際には、これらの問題に関連するコストが考慮されます。
参考文献: ISO 19011:2018、マネジメントシステムの監査に関するガイドライン

説明
有効な監査証跡にならない 3 つのオプションは次のとおりです。
*組織が脆弱性を監視する連絡窓口（PoC）をどのように管理しているかについて、さらなる証拠を収集します。（8.1項に関連）
*用語と定義が情報セキュリティポリシーに含まれているかどうかについて、さらに証拠を収集します。
（コントロール5.32に関連）
* ISO 27035（情報セキュリティインシデント管理）が内部監査基準として使用されているかどうかを判断するために、より多くの証拠を収集してください。（8.13項関連）これらの選択肢は、監査の焦点である情報セキュリティインシデント管理プロセスに直接関連していないため、有効な監査証跡ではありません。監査証跡は、監査の目的、範囲、および基準に関連し、監査の所見および結論を裏付ける十分かつ信頼性の高い証拠を提供する必要があります1。
選択肢Eは無効です。PoCは情報セキュリティインシデント管理プロセスの一部ではなく、情報セキュリティインシデントを適切な当局に報告し、エスカレーションする責任を負う役割であるためです2。監査証跡は、組織がPoCをどのように管理するかではなく、PoCがこの機能をどのように遂行するかに焦点を当てるべきです。
選択肢Gは無効です。なぜなら、用語と定義は情報セキュリティインシデント管理プロセスの一部ではなく、組織の情報セキュリティの目標、原則、および責任を定義する高レベルの文書である情報セキュリティポリシーの一部だからです3。監査証跡は、情報セキュリティポリシーに用語と定義が含まれているかどうかではなく、どのように伝達、実施、およびレビューされているかに焦点を当てるべきです。
選択肢Hは無効です。ISO 27035は情報セキュリティインシデント管理プロセスの一部ではなく、情報セキュリティインシデント管理のベストプラクティスを提供するガイダンス文書であるためです4。監査証跡は、組織がISO/IECの要件にどのように準拠しているかに焦点を当てるべきです。
内部監査基準として ISO 27035 を使用しているかどうかではなく、情報セキュリティ インシデント管理に関する ISO 27001:2022 に準拠しているかどうかが重要です。
その他の選択肢は、情報セキュリティインシデント管理プロセスに関連し、プロセスの適合性と有効性を評価するための有用な証拠を提供できるため、有効な監査証跡となります。例えば、
*オプションAは、管理策A.5.29に関連しているため有効です。この管理策では、組織は情報セキュリティインシデントが発生した区域を隔離・検疫するための手順を確立し、さらなる損害を防止し、証拠を保全することが求められています5。監査証跡には、組織がこれらの手順をどのように実装およびテストし、中断時に情報セキュリティの継続性をどのように確保しているかに関する証拠を収集する必要があります。
*オプションBは、管理策A.6.8に関連しているため有効です。この管理策では、組織は情報セキュリティに関する事象および脆弱性を報告するためのメカニズムを確立し、それらが組織内の適切な階層にタイムリーに伝達されることを確実にする必要があります6。監査証跡は、組織がこれらのメカニズムをどのように定義し、使用しているか、また報告プロセスをどのように監視およびレビューしているかに関する証拠を収集する必要があります。
*オプションCは、組織が管理下にあるすべての従業員に対して情報セキュリティの意識向上、教育、およびトレーニングを提供し、これらの活動の有効性を評価することを要求する条項7.2に関連しているため有効です7。監査証跡には、組織が情報セキュリティトレーニングのニーズをどのように特定し、どのようにトレーニングを実施および記録し、学習成果とフィードバックをどのように測定しているかに関する証拠を収集する必要があります。
*オプション D は、組織が情報セキュリティ インシデントから学び、再発を防止または影響を軽減するための是正措置を実施することを要求するコントロール A.5.27 に関連しているため有効です8。
監査証跡では、組織が情報セキュリティインシデントの根本原因と結果をどのように分析して文書化しているか、どのように是正措置を特定して実施しているか、そしてどのようにこれらの措置の有効性を検証しているかに関する証拠を収集する必要があります。
*オプションFは、管理策A.5.30に関連しているため有効です。この管理策では、組織が事業継続計画を策定し、維持することで、重大な情報セキュリティインシデントが発生した場合に情報および情報処理施設の可用性を確保することを求めています9。監査証跡には、組織が事業継続計画をどのように策定・更新し、どのようにテスト・レビューを行い、関係者に計画についてどのように周知・教育しているかに関する証拠を収集する必要があります。
参考文献: 1: ISO 19011:2018、6.2; 2: ISO/IEC 27001:2022、A.6.8.1; 3: ISO/IEC 27001:2022、5.2; 4:
ISO/IEC 27035:2016、序論; 5: ISO/IEC 27001:2022、A.5.29; 6: ISO/IEC 27001:2022、A.6.8; 7:
ISO/IEC 27001:2022、7.2; 8: ISO/IEC 27001:2022、A.5.27; 9: ISO/IEC 27001:2022、A.5.30; : ISO
19011:2018; : ISO/IEC 27001:2022; : ISO/IEC 27001:2022; : ISO/IEC 27035:2016; : ISO/IEC 27001:2022; :
ISO/IEC 27001:2022; : ISO/IEC 27001:2022; : ISO/IEC 27001:2022; : ISO/IEC 27001:2022

取ることができる処置のオプションは、A、C、F、および G の 4 つです。これらのオプションは、ISO 19011:2018 の 6.712 項のガイダンスおよび要件に準拠しています。監査対象者/監査クライアントと、残っている不適合をどのようにクリアするか、いつまでに、またどのようにクリアしたかを検証するかについて合意し (A)、その合意を監査報告書に文書化することができます 1。組織が提起された不適合をクリアすることに尽力していることを示したため、フォローアップ監査を終了し、その結果を監査クライアントとその他の関連当事者に報告することができます 1。進捗状況を記録しますが、すべての是正処置がクリアされるまで監査をオープンに保留し (F)、別のフォローアップ監査またはその他の処置の必要性を判断することができます 1。また、監査プログラムの全体的な管理と調整に責任がある監査プログラムを管理している個人に、未解決の不適合に関して下された決定を通知することもできます (G)。未解決の軽微な不適合を次回のサーベイランス監査 (B) で対処するよう推奨しないでください。監査の目的と監査プログラムに支障をきたす可能性があるためです1。合意された期限内に合意された修正および是正処置を実施できなかったという理由で組織の認証を一時停止するよう推奨しないでください (D)。これは、ISMS 監査員としての役割または権限の範囲外であるためです4。未解決の不適合 (E) に対処するために次回の監査をオンライン監査にするよう手配することを被監査者に通知しないでください。これは、不適合の性質と複雑さによっては実行可能または効果的ではない可能性があるためです1。未解決の軽微な不適合 1 件が解消された後、それをレビューするために抜き打ちのフォローアップ監査を現地で実施しないでください (H)。これは、監査契約または監査プログラムに準拠していない可能性があるためです1。参照: 1: ISO 19011:2018、マネジメントシステムの監査に関するガイドライン、6.7 項 \n2: PECB 認定 ISO/IEC 27001 主任監査員試験準備ガイド、ドメイン 6: ISO/IEC 27001 監査の終了 \n3: ISO 19011:2018、マネジメントシステムの監査に関するガイドライン、5.3 項 \n4: ISO/IEC 27006:2022、情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステムの監査および認証を行う機関に対する要求事項、9.6 項