説明
これら4つのシナリオは、職務やタスクを効果的かつ効率的に遂行するために必要な知識とスキルを適用する能力として定義される能力の欠如の例です12。ISOにおける能力
27001:2022は、組織のニーズと期待によって決定され、ISMSに関与する人々の関連する教育、研修、または経験に基づいています34。組織は、ISMSのパフォーマンスに影響を与えるすべての人々が能力を備えていることを保証し、役割と責任を果たすために必要な研修と意識向上を提供する必要があります35。4つのシナリオは、関係者が業務を遂行するための知識またはスキルを欠いているか、適切な研修や指導を受けていないことを示しています。その他のシナリオは、能力とは関係なく、過失、エラー、ポリシー違反などの他の要因に関連しています。
参考文献: = 1: ISO 19011:2018 マネジメントシステムの監査に関するガイドライン、第3.72項: ISO/IEC
27007:2011 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム監査のガイドライン、第53項: ISO/IEC 27001:2022 情報技術 - セキュリティ技術
- 情報セキュリティマネジメントシステム - 要求事項、7.24項：ISO 27001 要求事項 7.2 - 能力 | ISMS.online15：ISO27001 7.2項 能力 - 究極の認証ガイド - ハイテーブル3

Explanation:

この文を最も適切に完成させる言葉は「実証する」です。ISO/IEC 27001:2022の7.5項によれば、組織は、プロセスの実行と製品およびサービスの要求事項への適合の証拠として、文書化された情報を保持しなければなりません1。文書化された情報を保持する目的は、マネジメントシステム規格の要求事項への適合性を実証することであり、維持、監査、または認証することではありません。参考文献：1：ISO/IEC 27001:2022、情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項、7.5項

CEO が会社の現状と将来の戦略に関する見解や、CEO のビジョンと従業員の役割を述べたメールは、社内メールとして分類する必要があります。社内メールは、情報が社内使用のみを目的としており、許可なく外部に開示してはならないことを示す分類の一種です。CEO が送信したメールには、会社の従業員に関連性があり重要な情報が含まれていますが、会社の業績、目標、または計画に関する機密情報が含まれている可能性があるため、一般公開には適さない可能性があります。参考文献: : CQI & IRCA ISO 27001:2022 主任審査員コース ハンドブック、34 ページ。 : CQI & IRCA ISO 27001:2022 主任審査員コース ハンドブック、37 ページ。 : [ISO/IEC 27001 主任審査員 - PECB]、14 ページ。

説明
このシナリオにおいて最善の行動は、CCTVなど、セキュリティ保護区域への個人のアクセスを検証するための効果的な追加措置が講じられているかどうかを確認することです。この行動は、監査人が監査所見と結論を裏付ける十分かつ適切な監査証拠を取得することを要求する、証拠に基づくアプローチという監査原則と一致しています1。監査人は、他のセキュリティ管理策の存在と有効性を検証することで、観察された不適合の範囲と影響を評価し、適切な監査所見と勧告を決定することができます。
その他の選択肢は、時期尚早または不適切であるため、このシナリオでは最善の行動とは言えません。例えば、
*オプションAは不適切です。監査人の役割は、監査対象者に具体的な解決策や改善策を提案することではなく、監査基準と監査目的2に基づいた監査結果と推奨事項を報告することであるためです。受付に大きな看板を設置することは、車中泊問題への効果的かつ実現可能な解決策ではない可能性があり、問題の根本原因を反映していない可能性があります。
*オプションCは時期尚早です。なぜなら、観察された不適合を補う可能性のある他のセキュリティ管理策の存在と有効性を検証することなく、管理策A.7.1「セキュリティ境界」が適切に実施されていないと想定しているからです。監査人は、単一の観察に基づいて結論を急ぐべきではなく、監査指摘事項を裏付ける十分かつ適切な監査証拠を収集すべきです3。
*オプションDは時期尚早です。なぜなら、観察された不適合を補う可能性のある他のセキュリティ管理策の存在と有効性を検証することなく、管理策A.7.6「安全な区域での作業」が適切に実施されていないと想定しているからです。監査人は、単一の観察に基づいて結論を急ぐべきではなく、監査指摘事項を裏付ける十分かつ適切な監査証拠を収集すべきです3。
*選択肢Eは不適切です。観察された不適合とは関係がありません。観察された不適合は、セキュアエリアへのアクセス制御に関するものであり、サプライヤーと合意した情報セキュリティ要件に関するものではありません。監査人は、無関係または誤った監査基準に基づいて不適合を指摘すべきではありません4。
*オプションFは不適切です。監査人の役割は、監査対象者に具体的な解決策や改善策を提案することではなく、監査基準と目的2に基づいて監査結果と推奨事項を報告することです。請負業者が安全な施設にアクセスする際に常に付き添いを要求することは、車間距離の確保という問題に対処するための効果的または実現可能な解決策ではない可能性があり、問題の根本原因を反映していない可能性があります。
参照: 1: ISO 19011:2018, 5.2; 2: ISO 19011:2018, 6.6; 3: ISO 19011:2018, 6.2; 4: ISO 19011:2018,
6.3; : ISO 19011:2018; : ISO 19011:2018; : ISO 19011:2018

説明
ファーストパーティ監査とは、組織自身または組織に代わって外部の第三者が実施する内部監査です。ファーストパーティ監査の目的は次のとおりです。12 マネジメントシステムの適用範囲が正確であることを確認する。つまり、組織の情報セキュリティ目標および要件に関連するすべてのプロセス、活動、拠点、および機能を網羅していることを確認する。
管理ポリシーを更新します。つまり、監査結果とフィードバックに基づいて、情報セキュリティ管理システム (ISMS) のポリシーステートメント、役割と責任、目的とターゲットをレビューおよび改訂します。
その他のフレーズは、ファーストパーティ監査の目的ではありませんが、次のとおりです。
国際基準の適用: これは ISMS の要件であり、監査の目的ではありません。ISMS は、ISO/IEC 27001 規格およびその他の適用可能な規格や規制に準拠する必要があります12 認証機関向けの監査レポートの作成: これは第三者監査の活動であり、第一者監査ではありません。第三者監査とは、独立した認証機関が ISMS の適合性と有効性を検証し、適合証明書を発行するために実施する外部監査です12 監査を期限内に完了する: これはパフォーマンス指標であり、監査の目的ではありません。監査は計画された期間と予算内で完了する必要がありますが、これが監査の主な目的ではありません12 規制要件の適用: これも ISMS の要件であり、監査の目的ではありません。ISMS は、情報セキュリティに関する組織の法的義務と契約上の義務を遵守する必要があります12 参考文献:
1: ISO/IEC 27001:2022 主任審査員（情報セキュリティマネジメントシステム）コース（CQIおよびIRCA認定トレーニング1） 2: ISO/IEC 27001 主任審査員トレーニングコース（PECB 2）