説明
三位一体とは、情報セキュリティの3つの要素、すなわち機密性、完全性、可用性を指す3。テクノロジーは、不正アクセス、改ざん、紛失から情報を保護するためのさまざまな管理・対策を実施する手段を提供するため、三要素を結びつける接着剤となる3。参考文献ISO/IEC 27001:2022 主任審査員トレーニングコース - BSI

必要なサービスに応じて、法執行当局、規制機関、情報サービス・プロバイダー、電気通信サービス・プロバイダーとのコンタクトを維持する部署がCISOである。CISOとは、Chief Information Security Officer（最高情報セキュリティ責任者）の略。CISOは、組織の情報セキュリティ戦略とガバナンスを監督する責任を負う上級幹部である。CISOはまた、情報セキュリティ機能を統率し、情報セキュリティに関連する法律、規制、基準の遵守を確保するために、他の部門や利害関係者との調整を行います。また、CISOは、情報セキュリティの問題を含むインシデントや調査が発生した場合に、組織と、法執行機関やサービスプロバイダなどの外部の関係者との間の連絡役を務めることもある。ISO/IEC 27001:2022では、情報セキュリティ目標の設定と達成を確実にするためのトップマネジメントの役割と責任を組織に割り当てることを求めている（5.3項参照）。参照CQI & IRCA 認定 ISO/IEC 27001:2022 主任監査員トレーニングコース、ISO/IEC 27001:2022 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項、CISO とは？

情報の段階とは、作成、配布、使用、維持、処分である。これらは、情報が生成された瞬間から破棄またはアーカイブされる瞬間まで、情報のライフサイクルの中で通過する段階である。情報の各段階には、それぞれ異なるセキュリティ要件とリスクがあり、それに応じて管理されなければならない。なぜなら、進化は明確な段階ではなく、どの段階でも起こりうるプロセスだからである。創造、利用、処分、維持、進化は情報の正しい段階ではない。創造、分配、維持、処分、使用は、正しい順序ではないので、情報の正しい段階ではない。参考文献：：CQI & IRCA ISO 27001:2022 主任監査員コースハンドブック、32 ページ。 ISO/IEC 27001 主任監査員 - PECB]、12 ページ。

説明
ISO 27001:2022の4.3項によると、組織は、内部及び外部の問題、利害関係者の要求事項、並びに他の組織とのインタフェース及び依存関係を考慮して、情報セキュリティマネジメントシステム（ISMS）の適用範囲を決定しなければならない12。したがって、ISMSの適用範囲を確認するために見つける必要のある監査証拠には、以下が含まれるはずである：
* 受審者は、医療サービス及び患者データの取扱いに関する政府当局のニーズと期待を確認し た。受審者は、医療サービス及び患者データの質、安全性、プライバシーに関する関連法規を遵守しなけ ればならないため12 、これは ISMS の適用範囲に影響を及ぼす外部の問題であり、利害関係者の要求事項で ある。
* 受審者は、入居者の個人データをどのように保護すべきかについて、入居者のニーズと期待 を特定した。受審者は、電子リストバンドおよび AI クラウドサーバ12 によって収集、処理、保存される入居者の個 人情報の機密性、完全性、および可用性を確保しなければならないため、これは ISMS の適用範囲に影響を及ぼす外部の問題であり、利害関係者の要求事項である。
* 人工知能（AI）クラウドサーバーが設置されているデータセンターとの IT サービス契約。受審者は、ISMS に関連する外部から提供されるプロセス、製品、サービスを管理し、情報セキュリ ティに関連する適切な契約上の要求事項を実施する必要があるため12 、これは ISMS の適用範囲に影響する他組織とのインターフェースと依存関係である：
* 受審者は、施設と環境安全に関する入居者のニーズと期待を確認した。
これは外部の問題であり、利害関係者の要求事項であるが、情報セキュリ ティとは無関係であるため、ISMSの適用範囲には影響しない12。
* 受審者は ISO9001 認証を取得している。これは受審者の品質マネジメントシステムを示すものであるが、情報セキュリ ティとは関係ないため、ISMS の範囲を検証するものではない12。
* 受審者は、快適な施設、医療従事者の能力、清潔な環境に対する入居者のニーズと期 待を特定した。これらは外部の問題であり、利害関係者の要求事項であるが、情報セキュリ ティとは関係ないため、ISMSの適用範囲には影響しない12。
* 受審者は、ヘルスケア医療サービスに対する入居者のニーズと期待を特定した。これらは、外部の問題であり、利害関係者の要求事項であるが、情報セキュリティに特化したものではないため、ISMSの適用範囲を検証するものではない12。
* 受審者は外部のソフトウェア会社からヘルスケアモニタリングアプリの購入を検討している。これは、将来的に ISMS の適用範囲に影響を及ぼす可能性のある変更であるが、まだ実施・管理 されていないため、ISMS の現在の適用範囲を検証するものではない12：
1: ISO/IEC 27001:2022主任監査員（情報セキュリティマネジメントシステム）コース by CQI and IRCA Certified Training 1 2: ISO/IEC 27001主任監査員トレーニングコース by PECB 2

ISO/IEC 27001によると、ISMSの範囲は定義され、文書化されなければならない。この文書には、情報セキュリティマネジメントシステムの境界と適用範囲を含める必要があり、これは、ISMSの対象となる情報、場所、資産を定義するのに役立ちます。
参考文献ISO/IEC 27001:2013規格第4.3項（情報セキュリティマネジメントシステムの適用範囲の決定）

説明
情報の定義として正しくないのは、Cの「成熟した測定可能なデータ」である。情報は成熟している必要も測定可能である必要もないからである。情報とは、ある文脈の中で、誰かや何かにとって意味や価値を持つデータであれば何でもあり得る。情報は、その解釈や使われ方によって、主観的であったり、定性的であったり、不完全であったり、不確実であったりする。成熟したデータや測定可能なデータは、ある種の情報には当てはまるかもしれないが、すべてには当てはまらない特徴である。情報の他の定義は、正確性と適時性（A）、特異性と組織化（B）、理解と不確実性の低減（D）など、情報の異なる側面を記述しており、正しい。ISO/IEC
27001:2022では、情報を「意味を持つあらゆるデータ」と定義している（3.25項参照）。参考文献CQI & IRCA 認定 ISO/IEC 27001:2022 主任監査員トレーニングコース、ISO/IEC 27001:2022 情報技術
- セキュリティ技術 - 情報セキュリティ・マネジメント・システム - 要求事項、情報とは何か？

説明
情報セキュリティマネジメントシステム（ISMS）を確立し、実施し、維持し、継続的に改善するための要求事項を規定したISO/IEC 27001:2022によると、7.2項では、組織は、ISMSのパフォーマンスに影響する業務をその管理下で行う者の必要な能力を決定し、必要な能力を習得又は維持するための訓練を提供するか、又はその他の措置を講じることを求めている1。管理A.6.3は、組織に対し、すべての従業員及び請負業者が情報セキュリティの脅威及び懸念、その責任及び義務を認識し、この点に関する組織の方針及び手順を支援する能力を備えていることを確実にすることを求めている2。従って、ISMS監査員が情報セキュリティインシデント訓練の有効性を改善できると判断した場合、これは7.2項及び管理A.6.3に関連する改善の機会（OFI）を示している。
ISO/IEC 27001:2022によると、9.1項では、組織がISMSのパフォーマンスと有効性を監視、測定、分析、評価することを求めている1。管理A.5.24は、組織が情報セキュリティ事象及び弱点を報告する手順を定義し、適用することを要求している2。したがって、ISMS監査員が、サンプリングによるインタビュー結果に基づき、要員の役割と責任を含むインシデント管理手順の報告プロセスについて、インタビュー対象者の誰も説明できなかったことを発見した場合、これは、9.1項及び管理A.5.24に適合していない不適合（NC）を示します。
その他の選択肢は、与えられた情報に基づいて監査所見を作成するための正しい選択肢ではない。例えば、情報セキュリティの弱点、イベント、及びインシデントが報告されていれば、9.1項及び管理A.5.24に適合しているので不適合ではない。情報セキュリティの弱点、イベント、インシデントが報告されていれば、すでに9.1項と管理A.5.24に適合しているので、改善の機会はない。参考文献ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項、ISO/IEC 27002:2013 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理に関する実施基準

A.他のデータセンターが同じ通信グループに属していても、外部プロバイダとして扱われていることを確認します。これは、ISO 27001:2022の8.1.4項が、情報セキュリティマネジメントシステムに関連する外部提供のプロセス、製品、またはサービスが管理されていることを確実にすることを組織に求めているため、適切である。外部から提供されるプロセス、製品またはサービスとは、組織との関係の程度に関係なく、外部のあらゆる当事者によって提供されるものである。したがって、同じ電気通信グループ内の他のデータセンターは、外部プロバイダーとして扱われ、他の外部プロバイダーと同じ管理の対象となる12。
B.私は、外部プロバイダーが、その製品またはサービスの使用から生じるリスクを組織に通知するための文書化されたプロセスを備えていることを確実にします。これは、ISOの8.1.4項が適切であるためである。
27001:2022では、組織は外部プロバイダと情報セキュリティに関する適切な契約要件を実施することが求められている。契約上の要求事項の一つとして、外部プロバイダが、セキュリティインシデント、脆弱性、又は組織の情報セキュリティに影響を及ぼす可能性のある変更など、その製品又はサービスの使用から生じるリスクを組織に通知する義務を課すことが考えられる。外部プロバイダは、このような通知が適時、正確かつ完全であることを保証するためのプロセスを文書化しておく必要がある12。
E.私は、組織が外部提供者のパフォーマンスを定期的に監視、レビュー、評価していることを確実にします。ISO27001:2022の8.1.4項では、外部提供のプロセス、製品又はサービスのパフォーマンス及び有効性を監視、レビュー及び評価することを組織に求めているので、これは適切である。組織は、外部提供者の成果物及び活動の適合性及び適切性を測定し、検証し、必要に応じてフィードバック及び改善措置を提供するプロセスを設けるべきである。また、組織は、モニタリング、レビュー、評価の結果の記録を保持しなければならない12。
F.私は、組織がISMSに関する外部プロバイダとのコミュニケーションの必要性を決定していることを確実にします。これは、ISO 27001:2022の7.4.2項が、外部提供者とのコミュニケーションを含め、情報セキュリティマネジメントシステムに関連する内部及び外部とのコミュニケーションの必要性を決定することを組織に求めているため、適切である。組織は、このようなコミュニケーションの目的、内容、頻度、方法及び責任を定義し、それが情報セキュリティ方針及び目的と整合していることを確実にしなければならない。また、組織は、その実施状況の証拠として、コミュニケーションに関する文書化された情報を保持しなければならない。
27001:2022:
C.私は、組織が情報の機密性、完全性及びアクセシビリティを維持するために重要であると特定した各プロセスについて、予備の外部プロバイダを持つことを確実にします。ISO 27001:2022では、組織が重要なプロセスごとに予備の外部プロバイダを持つことを要求していないため、これは適切ではない。組織は、外部プロバイダの障害又は中断に備えて、コンティンジェンシープラン又はバックアップソリューションを持つことを選択することができるが、これは必須の要件ではない。組織は、外部プロバイダに関連するリスクと機会を評価し、適切な処置の選択肢を決定すべきである。
D.外部で提供される製品またはサービスを監査する必要はないので、私の監査活動は外部で提供されるプロセスに限定します。ISO27001:2022の8.1.4項では、情報セキュリティマネジメントシステムに関連する外部提供プロセス、製品またはサービスを組織が管理することを求めているため、これは適切ではありません。外部から提供される製品またはサービスには、組織の情報セキュリティに影響を及ぼす可能性のあるソフトウェア、ハードウェア、データ、またはクラウドサービスが含まれる。したがって、監査活動は、外部提供されるプロセス及び製品又はサービスの両方を、該当するように対象とすべきである12。
G. トップマネジメントが、内部ISMSプロセスだけでなく、外部ISMSプロセスを提供する者に対しても役割と責任を割り当てていることを確認する。ISO27001:2022の5.3項では、トップマネジメントが組織内の情報セキュリティマネジメントシステムの役割と責任を割り当てることを要求しており、外部提供者の役割と責任を割り当てていないため、これは適切ではありません。外部提供者は、組織に提供するプロセス、製品又はサービスに対して、自らの役割と責任を割り当てる責任がある。組織は、外部提供者がその役割と責任に対して十分な能力と認識を有し、契約上、組織の情報セキュリティ要件を遵守する義務を負っていることを確認する必要がある12。
H.私は、組織が外部プロバイダをランク付けし、最も高く評価されたプロバイダに業務の大部分を割り当てるようにします。ISO 27001:2022では、組織が外部プロバイダをランク付けすることや、そのランク付けに基づいて業務を割り当てることは要求されていないため、これは適切ではない。組織は、外部プロバイダのパフォーマンスと有効性を評価し、比較することを選択することができるが、これは必須の要件ではない。組織は、自組織に関連する情報セキュリティの基準と目的に基づいて外部プロバイダを選択し、利用する必要がある12：
1: ISO/IEC 27001:2022主任監査員（情報セキュリティマネジメントシステム）コース by CQI and IRCA Certified Training 1 2: ISO/IEC 27001主任監査員トレーニングコース by PECB 2

説明する：
* 情報源の決定
* 適切なサンプリングによる収集
* レビュー
* 監査証拠
* 監査基準に対する評価
* 監査結果
* 監査の結論
レビューのステップでは、収集した情報の正確性、完全性、妥当性をチェックする。
監査証拠のステップでは、検証可能で追跡可能な方法で情報を文書化する。監査基準に対する評価ステップでは、監査証拠をISOの要求事項と比較する。
27001 規格および組織自身の方針と目的。監査結果のステップでは、ISMSの不適合、弱点、または改善の機会を特定する。監査結論のステップでは、監査結果を要約し、是正処置または強化のための推奨事項を提示します。

説明
あなたがフォローアップ監査を実施する際に、受審者が実施していると予想される附属書 A の管理は以下の 3 つです：
B: 5.13 情報の表示
E: 5.34 プライバシー及び個人識別情報（PII）の保護 G: 6.3 情報セキュリティに関する意識向上、教育及び訓練 B: この管理策では、組織が情報分類スキームに従って情報資産にラベルを貼り、それに従って取り扱うことを要求している12。この管理は、ラベルの宛名を間違えて小包を間違った宛先に送ってしまい、情報資産の機密性、完全性、可用性が損なわれることを避けるのに役立つため、受審者にとって適切である。情報資産を正しくラベリングすることにより、受審者は、情報資産が意図された受取人に引き渡され、不正なアクセス、使用、または開示から保護されることを保証することもできる。
E: この管理は、組織が個人識別情報（PII）を処理する個人のプライバシーと権利を保護し、 適用される法的義務と契約上の義務を遵守することを要求する13。この管理は、サプライヤーによる入居者の個人データの不正使用を防止するのに役立ち、入居者及びその家族のプライバシー及び権利を侵害し、受審者を法的及び評判上のリスクにさらす可能性があるため、受審者にとって適切である。入居者とその家族の個人情報を保護することで、受審者は入居者の信頼と満足度を高め、苦情や紛争を回避することもできる。
G: この管理策では、全従業員及び契約�