* D. この記述は正しい。なぜなら、監査チームリーダーは監査計画を監査依頼者と監査対象者に伝え、監査を実施する前にその承認を得るべきであるからである12。監査計画には、監査の目的、範囲、基準、方法、スケジュール、リソース、役割と責任、その他の関連情報を含める必要がある12。また、監査計画は、監査プロセス中に必要に応じて見直し、更新する必要があり、変更については、監査チームリーダー、監査依頼者、および監査対象者の間で合意する必要がある12。監査計画を見直し、合意する目的は、監査が効率的かつ効果的に実施され、監査の期待と要件が関係者間で明確かつ一貫していることを保証することである。
参考文献:
1: PECB候補者ハンドブック - ISO 27001主任審査員、23ページ 2: ISO 19011:2018 - マネジメントシステムの監査に関するガイドライン、6.4.2項

チェックリストは、監査人が監査の目的と範囲に関連する情報を収集・検証するのに役立つツールです。チェックリストには、次のような利点があります。
* 関連する監査証跡の遵守の確保：チェックリストは、監査人が監査基準への適合性または不適合性を裏付ける証拠の出所を特定し、追跡するのに役立ちます。また、監査人が監査の重要な側面を見逃したり、見落としたりするのを防ぐのにも役立ちます。
* 監査計画の実施を確実にする：チェックリストは、監査人が監査計画を遵守し、それを遂行するのに役立ちます。監査計画には、監査の目的、範囲、基準、スケジュール、役割、責任など、監査の計画と詳細が記載されています。また、監査人が時間とリソースを効果的かつ効率的に管理するのにも役立ちます。
その他のオプションは、チェックリストを使用する利点ではありませんが、次のような利点があります。
* 毎回の監査で同じチェックリストをレビューなしで使用すること：これはチェックリスト使用のデメリットであり、硬直的で非効率的な監査アプローチにつながる可能性があります。チェックリストは、監査対象者や監査基準の状況、リスク、変更を考慮し、個々の監査に合わせてカスタマイズし、適応させる必要があります。また、チェックリストは、その妥当性と関連性を確保するために、定期的にレビューと更新を行う必要があります。
* インタビュー対象を特定の関係者に限定すること：これはチェックリスト使用のデメリットであり、監査の範囲と深度が制限される可能性があります。チェックリストは、監査人が監査にとって貴重な証拠や知見をもたらす可能性のある他の関連関係者や情報源へのインタビューを妨げるものではありません。チェックリストは、制約ではなく、ガイドとして利用されるべきです。
* 監査期間の短縮：これは、チェックリストを使用することによるメリットとは必ずしも言えません。監査対象者のISMSの複雑さ、規模、成熟度、証拠の入手可能性と質、監査人の能力と経験、監査人と監査対象者間の協力とコミュニケーションのレベルなど、様々な要因に依存するためです。チェックリストは、効率性と組織性を向上させることで監査期間の短縮に役立つ可能性がありますが、より多くの証拠や検証が必要となるため、監査期間が長くなる可能性もあります。
* 必要に応じてチェックリストの内容を変更しない：これはチェックリストを使用する際のデメリットであり、表面的または不完全な監査につながる可能性があります。チェックリストは、たとえチェックリストに記載されていない場合であっても、監査中に発生した問題や懸念事項の調査や検討を監査人が妨げるべきではありません。チェックリストは補助的なものであり、代替として用いるべきではありません。
参考文献:
* ISO/IEC 27001:2022 主任監査人（情報セキュリティ管理システム）の目標とコンテンツ（Quality.org および PECB より）
* ISO 19011:2018 マネジメントシステムの監査に関するガイドライン [セクション6.2.2]

情報セキュリティマネジメントシステム（ISMS）の確立、実装、維持、および継続的な改善に関する要求事項を規定するISO/IEC 27001:2022によれば、条項8.1では、組織はISMS要件を満たすために必要なプロセスを計画、実装、および管理することが求められています2。これには、何を行う必要があるか、どのように行うか、誰がいつ行うか、どのようなリソースが必要か、パフォーマンスをどのように評価するかなどを決定することが含まれます2。したがって、通信事業者の第三者監視監査を実施するISMS監査人が、最近のISMSアップグレードによって作業指示書へのアクセスが制限されたため、初期設定テストに不合格となり、再プログラミングのために返却されるスイッチの数が大幅に増加していることに気付いた場合、これはISO/IEC 27001:2022の条項8.1に違反していることを示しています。組織は、情報セキュリティと品質を確保するための運用プロセスを効果的に計画および管理できていないのです2。その他の選択肢は、この情報のみに基づいて不適合を指摘する適切な条項ではありません。例えば、条項 7.5 は、ISMS で要求されるか組織がその有効性のために必要であると決定する文書化された情報を扱っていますが2、作業指示書のコピーの数や形式が何部必要であるかは指定されていません。条項 10.2 は、特定された問題またはインシデントへの対応として不適合と是正処置を扱っています2、しかし運用プロセスでそのような問題またはインシデントを防止または回避する方法については触れていません。条項 7.3 は、組織の管理下で作業を行う人々の ISMS ポリシー、目的、役割、責任の認識を扱っています2、しかし作業指示書にアクセスしたりそれに従ったりする方法については関係していません。条項 7.2 は、組織の管理下で作業を行う人々の ISMS パフォーマンスに影響を与える力量を扱っています2、しかし力量の欠如が不十分な作業指示書によって引き起こされるとは示唆していません。条項
7.4は、ISMSに関する社内外の利害関係者間のコミュニケーションについて規定していますが、組織内での運用情報の伝達方法については規定していません。参考文献：ISO/IEC 27001:2022
- 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件

人的管理は、役割と責任、意識向上とトレーニング、スクリーニングと契約、リモートワークなど、情報セキュリティの人的側面に関連しています。研修中の監査人は、以下の管理をレビューする必要があります。
機密保持契約および秘密保持契約（A）：これらは、組織の従業員および請負業者に対し、取り扱う情報、特に外部顧客のデータの機密性を保護することを義務付ける契約上の義務です。監査人は、これらの契約が組織によって署名、更新、および執行されているかどうかを確認する必要があります。この管理策は、ISO/IEC 27001:2022のA.7.2.1項に関連しています。
情報セキュリティ意識向上、教育、研修：これらは、従業員および請負業者の情報セキュリティに関する知識、スキル、行動の向上を目的とした活動です。監査人は、これらの活動が組織によって計画、実施、評価、改善されているかどうかを確認する必要があります。この管理策は、ISO/IEC 27001:2022のA.7.2.2項に関連しています。
リモートワーク体制（D）：自宅や公共の場など、組織の敷地外から作業する際の情報セキュリティに関するポリシーと手順です。監査人は、これらの体制が組織によって定義、承認、監視されているかどうかを確認する必要があります。この管理策は、ISO/IEC 27001:2022のA.6.2.1項に関連しています。
従業員に対する確認チェックの実施 (E)：これは、機密情報またはシステムにアクセスする従業員および請負業者の身元、資格、および適性を検証するための身元調査です。監査人は、これらのチェックが組織によって実施、文書化、およびレビューされているかどうかを確認する必要があります。この管理策は、ISO/IEC 27001:2022のA.7.1.1項に関連しています。
参照：
ISO/IEC 27001:2022、情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要件 PECB候補者ハンドブック ISO/IEC 27001 主任審査員、1 ISO 27001:2022 主任審査員 - IECB、2 ISO 27001:2022 認定ISMS主任審査員 - Jisc、3 ISO/IEC 27001:2022 主任審査員移行トレーニングコース、4 ISO 27001 - 情報セキュリティ主任審査員コース - PwCトレーニングアカデミー、5

このシナリオにおいて最善の行動は、CCTVなど、セキュリティ保護区域への個人のアクセスを検証するための効果的な追加措置が講じられているかどうかを確認することです。この行動は、監査人が監査所見と結論を裏付ける十分かつ適切な監査証拠を取得することを要求する、証拠に基づくアプローチという監査原則と一致しています1。監査人は、他のセキュリティ管理策の存在と有効性を検証することで、観察された不適合の範囲と影響を評価し、適切な監査所見と勧告を決定することができます。
その他の選択肢は、時期尚早または不適切であるため、このシナリオでは最善の行動とは言えません。例えば、
*オプションAは不適切です。監査人の役割は、監査対象者に具体的な解決策や改善策を提案することではなく、監査基準と監査目的2に基づいた監査結果と推奨事項を報告することであるためです。受付に大きな看板を設置することは、車中泊問題への効果的かつ実現可能な解決策ではない可能性があり、問題の根本原因を反映していない可能性があります。
*オプションCは時期尚早です。なぜなら、観察された不適合を補う可能性のある他のセキュリティ管理策の存在と有効性を検証することなく、管理策A.7.1「セキュリティ境界」が適切に実施されていないと想定しているからです。監査人は、単一の観察に基づいて結論を急ぐべきではなく、監査指摘事項を裏付ける十分かつ適切な監査証拠を収集すべきです3。
*オプションDは時期尚早です。なぜなら、観察された不適合を補う可能性のある他のセキュリティ管理策の存在と有効性を検証することなく、管理策A.7.6「安全な区域での作業」が適切に実施されていないと想定しているからです。監査人は、単一の観察に基づいて結論を急ぐべきではなく、監査指摘事項を裏付ける十分かつ適切な監査証拠を収集すべきです3。
*選択肢Eは不適切です。観察された不適合とは関係がありません。観察された不適合は、セキュアエリアへのアクセス制御に関するものであり、サプライヤーと合意した情報セキュリティ要件に関するものではありません。監査人は、無関係または誤った監査基準に基づいて不適合を指摘すべきではありません4。
*オプションFは不適切です。監査人の役割は、監査対象者に具体的な解決策や改善策を提案することではなく、監査基準と目的2に基づいて監査結果と推奨事項を報告することです。請負業者が安全な施設にアクセスする際に常に付き添いを要求することは、車間距離の確保という問題に対処するための効果的または実現可能な解決策ではない可能性があり、問題の根本原因を反映していない可能性があります。
参照: 1: ISO 19011:2018, 5.2; 2: ISO 19011:2018, 6.6; 3: ISO 19011:2018, 6.2; 4: ISO 19011:2018,
6.3; : ISO 19011:2018; : ISO 19011:2018; : ISO 19011:2018