PECB の ISO/IEC 27001 主任審査員候補者ハンドブックによると、修正とは、やり直し、修理、交換など、検出された不適合を解消するための処置です1。例 A、B、C、E は、署名の欠落、ガイドの欠落、日付の誤り、カラーコードの誤りなど、不適合の原因となったエラーまたは欠陥を修正するため、修正となります。その他の例 (D、F、G、H) は、不適切なトレーニング、不十分な計画、効果のない文書化、責任の不明確など、不適合の根本原因に対処するため、修正ではなく是正処置です2。参考文献: 1: PECB の ISO/IEC 27001 主任審査員候補者ハンドブック、35 ページ、セクション 4.5.12: PECB の ISO/IEC 27001 主任審査員候補者ハンドブック、36 ページ、セクション 4.5.2。

説明
マネジメントシステムの監査に関するガイドラインであるISO 19011:2018の6.7項では、監査チームリーダーは、前回の監査で特定された不適合に対する被監査者の是正措置の実施状況と有効性を検証するために、フォローアップ監査を実施することが求められています1。フォローアップ監査は、初回監査と同じ原則とプロセスに従って実施され、不適合の状況と残存する問題点に関する結論が得られる必要があります1。
したがって、フォローアップ監査を実施する場合、ISMS 監査人は次のアクションを考慮する必要があります。
* 未解決の軽微な不適合を次回のサーベイランス審査で処理するよう推奨する: この処置は、被監査者が重大な不適合を含めたほとんどの不適合を解消し、未解決の軽微な不適合が 1 件のみ残っているという事実を反映しているため、適切です。軽微な不適合とは、ISO/IEC 27001:2022 の 1 つ以上の要求事項を達成できなかった場合、または ISMS プロセスが意図した出力を達成する能力について重大な疑義を生じさせるものの、全体的な有効性や適合性には影響を及ぼさない状況と定義されます2。したがって、この発見事項は、妥当な期間内に適切な是正処置によって対処される限り、認証の継続を妨げたり、排除したりすることはありません。審査員は、未解決の軽微な不適合を次回のサーベイランス審査で処理するよう推奨する必要があります。サーベイランス審査は、認証機関が ISMS の継続的な適合性と有効性を確認するために実施する定期審査です3。
* 被監査者／監査依頼者と、残存する不適合をどのように、いつまでに、そしてどのようにクリアするかについて合意する：これは、被監査者が前回の監査で特定された不適合に対する是正措置を実施するコミットメントと能力を示したことを反映しているため、適切な措置です。監査人は、残存する不適合に対する現実的で達成可能かつ効果的な是正措置計画について、明確な期限と検証方法を含め、被監査者／監査依頼者と合意する必要があります。また、この合意内容をフォローアップ監査報告書1に記載する必要があります。
* 未解決の不適合に関する決定事項を監査プログラム管理者に報告する：これは、監査人がフォローアップ監査の実施と報告において体系的かつ一貫したアプローチをとったことを反映しているため、適切です。監査人は、未解決の不適合に関する決定事項（次回のサーベイランス監査で不適合の解決を推奨する、被監査者／監査依頼者と是正措置計画について合意するなど）を監査プログラム管理者に報告する必要があります。また、監査人は、その決定事項を裏付ける十分な情報と証拠を提供する必要があります1。
* 組織が指摘された不適合を解消することに尽力していることを示したため、フォローアップ監査を終了する：これは、組織がフォローアップ監査で満足のいく結果を達成したという事実を反映しているため、適切な措置です。組織は、指摘された不適合のほとんどに対して効果的な是正措置を実施し、残りの1件についても計画に合意することで、指摘された不適合を解消することに尽力していることを示したため、監査人はフォローアップ監査を終了する必要があります。また、監査人は、フォローアップ監査の結論を被監査者/監査依頼者およびその他の関係者に伝達する必要があります1。

情報セキュリティマネジメントシステム（ISMS）の確立、実装、維持、および継続的な改善に関する要件を規定するISO/IEC 27001:2022では、コントロール5.7において、組織はISMSの適用範囲と目標に関連する情報セキュリティの脅威を特定し評価するための脅威インテリジェンスプロセスを確立し、維持することが求められています1。組織は、脆弱性データベース、脅威フィード、業界レポートなどの内部および外部の情報源を活用して、リスク評価と対応、およびその他の情報セキュリティ活動を支援するために使用できる脅威インテリジェンスを作成する必要があります1。したがって、組織のコントロール5.7の適用状況を監査する際には、ISMS監査人はこれらの側面が監査基準に従って満たされていることを確認する必要があります。
コントロール 5.7 を検証するための有効な監査証跡を表す 3 つのオプションは次のとおりです。
* 組織の脅威インテリジェンスプロセスをレビューし、それが完全に文書化されていることを確認します。
このオプションは、組織がISMSの適用範囲と目標に合致する脅威インテリジェンスプロセスをどのように確立し、維持しているかを示す証拠を提供できるため、有効です。また、プロセスがISO/IEC 27001:20221の7.5項に従って文書化されていることを検証することもできます。
* 組織の情報資産の機密性、完全性、および可用性を保護するために、脅威インテリジェンスが積極的に活用されていることを確認します。このオプションは、組織がリスク評価と対応、ならびにインシデント対応、意識向上、監視といったその他の情報セキュリティ活動を支援するために、脅威インテリジェンスをどのように活用しているかを示す証拠を提供できるため、有効です。また、組織がISO/IEC 27001:20221の6.2項に従って情報セキュリティ目標を達成していることも検証できます。
* 脅威インテリジェンスの作成において、内部および外部の情報源が活用されているかどうかを判断します。このオプションは、組織が脆弱性データベース、脅威フィード、業界レポートなど、様々な情報源をどのように活用して、関連性と信頼性のある脅威インテリジェンスを作成しているかを示す証拠を提供できるため、有効です。また、組織がISO/IEC 27001:20221のコントロール5.7の要件を遵守していることも検証できます。
その他のオプションは、コントロール5.7またはその要件に関連していないため、コントロール5.7を検証するための有効な監査証跡ではありません。例：
* 経営陣と話し合い、全スタッフが脅威を報告することの重要性を認識していることを確認します。
このオプションは、組織が脅威インテリジェンスプロセスをどのように構築・維持しているか、あるいはISMS活動を支援するために脅威インテリジェンスをどのように活用しているかを示す証拠がないため、無効です。これは、情報セキュリティ意識向上やコミュニケーションに関する他の管理策または要件に関連している可能性がありますが、管理策5.7に直接関連しているわけではありません。
* 脅威インテリジェンスの作成タスクが組織の内部監査チームに割り当てられていることを確認します：このオプションは、組織が脅威インテリジェンスプロセスをどのように確立・維持しているか、またはISMS活動を支援するために脅威インテリジェンスをどのように活用しているかを示す証拠がないため、無効です。また、マネジメントシステムの監査に関するガイドラインであるISO 19011:20182で推奨されている監査人の独立性と客観性の要件にも反する可能性があります。
* 組織のリスク評価プロセスが効果的な脅威インテリジェンスから始まることを確認します。
このオプションは、組織が脅威インテリジェンスプロセスをどのように確立・維持しているか、あるいはISMS活動を支援するために脅威インテリジェンスをどのように活用しているかを示す証拠がないため、有効ではありません。また、情報セキュリティリスク管理のガイドラインであるISO/IEC 27005:20183に準拠しない、規範的なリスク評価アプローチを示唆している可能性もあります。
* 情報セキュリティ脅威に関する情報がどのように収集・評価され、脅威インテリジェンスが生成されているかを確認します。この選択肢は、組織が脅威インテリジェンスプロセスをどのように確立・維持しているか、あるいはISMS活動を支援するために脅威インテリジェンスをどのように活用しているかを示す証拠がないため、無効です。また、情報の収集と評価にどのような基準や方法が用いられているかが明記されていないため、効果的な監査証跡とはなり得ないほど曖昧または範囲が広すぎる可能性があります。
* 現在の脅威インテリジェンス体制の有効性について経営幹部に周知するための適切な措置が導入されていることを確認します：この選択肢は、組織が脅威インテリジェンスプロセスをどのように構築・維持しているか、あるいはISMS活動を支援するために脅威インテリジェンスをどのように活用しているかを示す証拠がないため、無効です。これは、マネジメントレビューまたはパフォーマンス評価に関する他の管理策または要件に関連している可能性がありますが、管理策5.7に直接関連しているわけではありません。
参照: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、ISO 19011:2018 - 管理システム監査のガイドライン、ISO/IEC 27005:2018 - 情報技術 - セキュリティ技術 - 情報セキュリティリスク管理