According to ISO/IEC 27001:2022, which specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system (ISMS), clause 6.2 requires an organization to establish information security objectives at relevant functions and levels1. The objectives should be consistent with the information security policy; measurable (if practicable) or capable of being evaluated; monitored; communicated; updated as appropriate1. Therefore, when auditing an organization's information security objectives, an ISMS auditor should verify these aspects in accordance with the audit criteria. Three responses from the ISMS auditor in training that would cause concern in relation to conformity with ISO/IEC 27001:2022 are: * I am going to check that top management have determined the Information Security objectives for the current year. If not, I will check that this task has been programmed to be completed: This response would cause concern because it implies that the auditor in training is not aware of the requirement to establish information security objectives at relevant functions and levels, not just at the top management level. It also implies that the auditor in training is willing to accept a delay or postponement in determining the information security objectives, which may affect the ISMS performance and effectiveness. * I am going to check that the Information Security objectives are written down on paper so that everyone is clear on what needs to be achieved, how it will be achieved, and by when it will be achieved: This response would cause concern because it implies that the auditor in training is not aware of the requirement to establish information security objectives that are measurable (if practicable) or capable of being evaluated, not just written down on paper. It also implies that the auditor in training is not aware of the flexibility and suitability of different media or formats for documenting and communicating information security objectives, such as electronic or digital records, posters, newsletters, etc. * 各目標に完了日が設定されていること、および「達成期限」が設定されていない目標がないことを確認します。この回答は、研修中の監査担当者が、特定の期日までに完了するだけでなく、監視される情報セキュリティ目標を設定する必要があることを認識していないことを示唆しているため、懸念を生じさせます。また、研修中の監査担当者が、組織の内部または外部の状況に変化が生じた場合、あるいは新たなリスクや機会が生じた場合など、必要に応じて情報セキュリティ目標を更新する可能性と必要性を認識していないことも示唆しています。 ISMS監査員研修生からのその他の回答は許容範囲内であり、ISO/IEC 27001:2022への適合性に関して懸念事項はありません。例えば、各情報セキュリティ目標が、目標達成のためにその目標を認識する必要のある人々にどのように伝達されているかを確認することは、条項6.2の伝達面の検証に関連しています。情報セキュリティ目標を定期的に見直し、必要に応じて修正または取り消すためのプロセスが整備されていることを確認することは、条項6.2の更新面の検証に関連しています。各目標を達成するために必要な予算、人員、資材が決定されていることを確認することは、条項6.2の計画面の検証に関連しています。すべての情報セキュリティ目標が測定可能であることを確認すること。測定可能でない場合、組織は目標に対する進捗状況を追跡することができません。これは、条項6.2の測定可能性面の検証に関連しています。参照規格:ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項