データと情報は関連した概念ですが、同じではありません。データとは、生の事実や数字を表し、情報の基礎となる単なる事実または数字です。情報とは、分析、解釈、または意味のある形での編集によって価値が与えられたデータです。データに意味と価値が付与されると、意思決定、問題解決、またはコミュニケーションに活用できる情報になります。したがって、正解はCです。参考：ISO/IEC 27000:2022、3.7項「データと情報 - 違いと比較 | Diffen」

Explanation:
ステップ1 = インシデント記録 ステップ2 = インシデントの分類 ステップ3 = インシデントの優先順位付け ステップ4 = インシデントの割り当て ステップ5 = タスクの作成と管理 ステップ6 = SLA管理とエスカレーション ステップ7 = インシデントの解決 ステップ8 = インシデントのクローズ 情報セキュリティインシデント管理プロセスにおける各段階の順序は、インシデント、イベント、および脆弱性への迅速かつ効果的で秩序立った対応を保証する論理的な順序に従う必要があります。また、この順序は、ISO/IEC 27001:2022およびISO/IEC 27035:2022で提供されているベストプラクティスおよびガイダンスと一致している必要があります。したがって、以下の順序が推奨されます。
* ステップ1 = インシデントログ：このステップでは、潜在的なインシデント、イベント、または脆弱性の詳細（日付、時刻、発生源、説明、影響、報告者など）を記録します。このステップは、インシデントの追跡可能な記録を提供し、その後の分析と対応を容易にするために重要です。このステップは、ISO/IEC 27001:2022のコントロールA.16.1.1に関連しており、組織は情報セキュリティインシデント、イベント、および脆弱性の管理に関する責任と手順を確立する必要があります。また、このステップは、インシデント、イベント、および脆弱性のログ記録方法に関するガイダンスを提供するISO/IEC 27035:2022の6.2項にも関連しています。
* ステップ2 = インシデントの分類：このステップでは、インシデント、イベント、または脆弱性の種類と性質（ハードウェアの問題、ネットワークの問題、ソフトウェアの問題など）を判断します。このステップは、インシデントを分類し、適切な解決者またはチームに割り当てるために重要です。このステップは、ISO/IEC 27001:2022のコントロールA.16.1.2に関連しており、組織は情報を報告することが求められています。
* セキュリティイベントと脆弱性を、適切な管理チャネルを通じて可能な限り迅速に把握する。このステップは、インシデント、イベント、および脆弱性を分類する方法に関するガイダンスを提供するISO/IEC 27035:2022の6.3項にも関連しています。
* ステップ3 = インシデントの優先順位付け：このステップでは、インシデント、イベント、または脆弱性の重大性と緊急性を評価し、重大、高、中、低のいずれかに分類します。このステップは、インシデントの優先順位付けと、対応に必要なリソースと時間を割り当てる上で重要です。このステップは、ISO/IEC 27001:2022のコントロールA.16.1.3に関連しており、組織は定義された基準に従って情報セキュリティイベントと脆弱性を評価し、優先順位付けを行うことが求められています。また、このステップは、インシデント、イベント、および脆弱性の優先順位付け方法に関するガイダンスを提供するISO/IEC 27035:2022の6.4項にも関連しています。
* ステップ 4 = インシデントの割り当て: このステップでは、スキル、知識、可用性に基づいて、インシデント、イベント、または脆弱性を解決するのに最適な個人またはチームに引き渡します。
このステップは、インシデントが適切な担当者またはチームによって処理され、遅延や混乱を回避するために重要です。このステップは、ISO/IEC 27001:2022のコントロールA.16.1.4に関連しており、組織は合意された手順に従って、情報セキュリティイベントおよび脆弱性にタイムリーに対応することが求められています。また、このステップは、インシデント、イベント、および脆弱性の割り当て方法に関するガイダンスを提供するISO/IEC 27035:2022の6.5項にも関連しています。
* ステップ5 = タスクの作成と管理：このステップでは、根本原因分析の実施、解決策のテスト、変更の実装、対策の文書化など、インシデント、イベント、または弱点の解決に必要な作業を特定し、調整します。このステップは、インシデントが効果的かつ効率的に解決され、対策が追跡および管理されることを確実にするために重要です。このステップは、ISO/IEC 27001:2022のコントロールA.16.1.5に関連しており、組織は情報セキュリティイベントと弱点から学んだ教訓を適用して、是正措置と予防措置を講じる必要があります。このステップは、ISO/IEC 27035:2022の6.6項にも関連しており、インシデント、イベント、および弱点に関するタスクの作成と管理方法に関するガイダンスを提供しています。
* ステップ6 = SLA管理とエスカレーション：このステップでは、解決策の実施中にサービスレベル契約（SLA）が遵守されていることを確認するとともに、違反の可能性が高まった場合、または違反が発生した場合に、インシデントを上位レベルの権限またはサポートにエスカレーションします。このステップは、合意された時間枠と品質でインシデントが解決され、逸脱や問題があれば伝達され、対処されることを確認するために重要です。このステップは、ISO/IEC 27001:2022のA.16.1.6制御に関連しており、組織は情報セキュリティイベントと脆弱性を、必要に応じて関連する内部および外部関係者に伝達する必要があります。また、このステップはISO/IEC 27001:2022の6.7項にも関連しています。
27035:2022 では、インシデント、イベント、弱点に関する SLA とエスカレーションを管理する方法についてのガイダンスが提供されています。
* ステップ7 = インシデント解決：このステップでは、インシデント、イベント、または脆弱性を解決するために一時的な回避策または恒久的な解決策を適用し、情報および情報処理施設の通常運用を復旧します。このステップは、インシデントが完全にかつ満足のいく形で解決され、情報セキュリティが望ましいレベルに回復されることを確実にするために重要です。
このステップは、ISO/IEC 27001:2022のコントロールA.16.1.7に関連しており、組織は情報セキュリティイベントおよび弱点の原因を特定し、それらの再発または発生を防止するための措置を講じる必要があります。また、このステップは、インシデント、イベント、および弱点を解決する方法に関するガイダンスを提供するISO/IEC 27035:2022の6.8項にも関連しています。
* ステップ 8 = インシデントのクローズ: このステップでは、インシデント、イベント、または脆弱性が適切に解決され、すべてのアクションが完了して文書化されたことを確認した後、インシデントをクローズします。
このステップは、インシデントが正式に終了し、それ以上の措置が取られないようにするために重要です。
* 必須。このステップはISO/IEC 27001:2022のコントロールA.16.1.8に関連しており、組織は情報セキュリティイベントと弱点、および講じた対策について証拠を収集し、文書化することが求められています。また、このステップはISO/IEC 27035:2022の6.9項にも関連しており、インシデント、イベント、および弱点をクローズする方法に関するガイダンスを提供しています。
参考文献:
* ISO/IEC 27001:2022、情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件1
* PECB候補者ハンドブック ISO/IEC 27001 主任審査員2
* ISO 27001:2022 主任監査員 - PECB3
* ISO 27001:2022認定ISMS主任監査員 - Jisc4
* ISO/IEC 27001:2022 主任審査員移行トレーニングコース5
* ISO 27001 - 情報セキュリティ主任監査人コース - PwCトレーニングアカデミー6
* ISO/IEC 27035:2022、情報技術 - セキュリティ技術 - 情報セキュリティインシデント管理

機密保持は、監査人が監査実施時に遵守すべき監査行為の原則の一つです。機密保持とは、監査人が職務遂行中に取得した情報の使用および保護に関して裁量権を行使すべきことを意味します3。監査人は、監査対象者および監査に関与するその他の当事者の知的財産権を尊重し、機密情報、専有情報、または秘密情報を、監査対象者また​​はその他の権限を有する当事者の事前の承認なしに開示してはなりません3。また、監査人は、監査中にカメラや録音機器を使用する前に、監査対象者の許可を得る必要があります。これらの機器は機密情報を記録したり、個人のプライバシーを侵害したりする可能性があるためです3。したがって、これら2つの選択肢は、監査における機密保持の役割を正しく述べています。他の選択肢は、誤っているか、機密保持とは無関係です。例えば、監査人は、監査において機密保持を義務付けられるのは、規制要件ではなく、倫理的義務と契約上の合意によるものです3。監査チームのオブザーバーは、機密保持契約に署名し、監査対象者から承認されている場合に限り、機密情報にアクセスできます3。監査情報は、機密性を損なわず、他の利害と衝突しない場合にのみ、監査人個人の能力向上のために使用することができます3。監査人は常にガイドを同行するため、ガイドが信頼できない場合、またはそのような情報にアクセスする権限がない場合、監査対象者の機密情報が漏洩するリスクは依然として存在します3。参考文献：ISO 19011:2018 - マネジメントシステム監査のガイドライン

ISMSの標準的な定義は、事業目標を達成するために、組織の情報セキュリティを確立、実装、運用、監視、レビュー、維持、改善するための体系的なアプローチです。この定義はISO/IEC 27001:2022の3.17項に示されており、ISMSの主要な構成要素と目的を説明しています。ISMSは継続的な改善を必要とする継続的なプロセスであるため、プロジェクトベースのアプローチではありません。ISMSは組織の目標を支援するマネジメントシステムであるため、全社的な事業目標ではありません。ISMSは組織の状況、リスク、管理、パフォーマンスを包含するより広範な概念であるため、情報セキュリティの体系的なアプローチではありません。参考文献：CQI & IRCA ISO 27001:2022 主任審査員コースハンドブック、15ページ。
ISO/IEC 27001:2022、条項3.17。

B) 8.12 データ漏洩防止。これは、監査対象者が、小包に含まれる個人データ、医療記録、公文書などの機密情報の不正な漏洩を防止するための対策を講じているべきであるためです。データ漏洩防止には、暗号化、認証、アクセス制御、ログ記録、データ転送の監視などが含まれます12。
D) 6.3 情報セキュリティの意識向上、教育、および研修。これは、監査対象者が、出荷プロセスに関わるすべての従業員と請負業者が情報セキュリティポリシーと手順を理解し、保管する情報資産の取り扱いと保護方法に関する適切な研修を受けていることを確認する必要があるためである。情報セキュリティの意識向上、教育、および研修には、導入プログラム、定期的な復習、啓発キャンペーン、eラーニングモジュール、フィードバックメカニズムなどが含まれる可能性がある13。
E) 7.10 ストレージメディア。これは、監査対象者が情報資産を保管するストレージメディアを不正アクセス、不正使用、盗難、紛失、または損傷から保護するための管理策を実装している必要があるため、当てはまります。ストレージメディアには、紙文書、光ディスク、磁気テープ、フラッシュドライブ、ハードディスクなどが含まれます14。ストレージメディアの管理策には、物理​​的なロック、暗号化、バックアップ、廃棄、または破壊などが含まれます14。
F) 8.3 情報アクセス制限。これは、監査対象者が最小権限の原則と必要最小限の権限に基づいて情報資産へのアクセスを制限するための統制を実施しているべきであるためです。情報アクセス制限には、情報資産にアクセスするユーザーとシステムの識別、認証、認可、説明責任、および監査可能性が含まれます15。
I) 7.4 物理的セキュリティ監視。これは、監査対象者が情報資産が保管または処理される施設の物理的セキュリティを監視するための統制を導入している必要があるため、当てはまります。物理的セキュリティ監視には、CCTVカメラ、警報装置、センサー、警備員、巡回などが含まれます16。物理的セキュリティ監視は、不正な物理的アクセスや侵入の試みを検知し、阻止するのに役立ちます16。
J) 5.13 情報のラベル付け。これは、監査対象者が情報資産をその分類レベルと取り扱い指示に従ってラベル付けするための統制を実施しているべきであるためです。情報のラベル付けには、マーク、タグ、スタンプ、ステッカー、バーコードなどが含まれます1。情報のラベル付けは、情報資産を識別し、不正な開示や誤用から保護するのに役立ちます1。
参照：
ISO/IEC 27002:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理のための実践規範 ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要求事項 ISO/IEC 27003:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - ガイダンス ISO/IEC 27004:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 監視、測定、分析及び評価 ISO/IEC 27005:2022 情報技術 - セキュリティ技術 - 情報セキュリティリスク管理 ISO/IEC 27006:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システムの監査及び認証を行う機関に対する要求事項
[ISO/IEC 27007:2022 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム監査のガイドライン]