シナリオ4：SendPayは、代理店と金融機関のネットワークを通じてサービスを提供する金融会社です。主要サービスの一つは、国際送金です。新興企業であるSendPayは、顧客に最高品質のサービスを提供することを目指しています。国際取引を提供するため、顧客からは身元、取引理由、取引完了に必要なその他の詳細情報などの個人情報の提供を求めています。そのため、SendPayは、発生する可能性のある情報セキュリティ上の脅威の検出、調査、対応など、顧客情報を保護するためのセキュリティ対策を実施しています。安全なサービス提供へのコミットメントは、ISMSの導入にも反映されており、同社は多くの時間とリソースを投入しています。
SendPayは昨年、スマートフォンやノートパソコンなどの電子機器を通じて追加料金なしで送金できるデジタルプラットフォームを発表しました。このプラットフォームを通じて、SendPayの顧客はいつでもどこからでも送金と受け取りが可能です。このデジタルプラットフォームは、SendPayの業務を簡素化し、事業のさらなる拡大に貢献しました。当時、SendPayはソフトウェア運用をアウトソーシングしていたため、このプロジェクトはアウトソーシング先のソフトウェア開発チームによって完了しました。
同じチームが SendPay の技術インフラストラクチャの保守も担当していました。
同社はISMS導入からほぼ1年を経て、最近ISO/IEC 27001認証の申請を行いました。同社は自社の基準に適合する認証機関と契約を結びました。その後まもなく、認証機関は4名の監査員チームを任命し、SendPayのISMS監査を行いました。
監査中には、とりわけ以下の状況が観察されました。
1. アウトソーシング先のソフトウェア会社がSendPayとの契約を事前の通知なく解除した。その結果、SendPayはサービスを直ちに社内に戻すことができず、5日間業務が中断された。監査役はSendPayの担当者に対し、契約解除の場合に講じるべき計画があることの証拠を提示するよう求めた。担当者は証拠書類を提出しなかったが、インタビューの中で、SendPayの経営陣が、同様の事態が再び発生した場合に即座にサービスを提供できる他の2社のソフトウェア開発会社を特定したと監査役に語った。
2. ソフトウェア開発会社に外注された業務の監視に関する証拠は存在しませんでした。SendPayの担当者は、監査人に対し、ソフトウェア開発会社と定期的に連絡を取り合っており、発生する可能性のある変更について適切に報告を受けていると述べました。
3. ファイアウォールテストでは不適合は発見されませんでした。監査人は、これらのサービスが提供するセキュリティレベルを判断するために、ファイアウォール設定をテストしました。ファイアウォールポリシーのテストにはパケットアナライザーを使用し、送受信されたパケットをリアルタイムで確認しました。
このシナリオに基づいて、次の質問に答えてください。
シナリオ4に基づき、監査人はアウトソーシング業務のモニタリングプロセスに関する証拠書類の提出を求めました。これは何を示唆しているでしょうか？

あなたは、地元の病院や官公庁を含む大規模組織に配送サービスを提供する国際物流企業の発送部門でISMS監査を実施しています。荷物には通常、医薬品、生物学的サンプル、パスポートや運転免許証などの書類が含まれています。会社の記録を見ると、宛名ラベルの誤り、そして1つの荷物に異なる宛先のラベルが2枚以上貼られているケースなど、非常に多くの返品が発生していることに気づきます。あなたは配送マネージャー（SM）にインタビューを行っています。
あなた: 商品は発送前に検査されますか?
SM: 明らかに破損している品物は発送前に担当スタッフが取り除きますが、利益率が低いため、正式な検査プロセスを実施するのは経済的ではありません。
あなた: 商品が返品された場合、どのような措置が取られますか?
SM: これらの契約のほとんどは比較的低額であるため、調査を実施するよりも、ラベルを再印刷して個々の小包を再送する方が簡単で便利であると判断されました。
不適合を指摘しました。このシナリオを参考に、フォローアップ監査を実施する際、被監査者が実施していることを期待する附属書Aのコントロールのうち、3つはどれですか？

空欄を埋める
組織は、アプリケーションが自動更新される際に、更新版のソースコードをチェックしていません。そのため、アプリケーションは不正な変更を受ける可能性があります。これは、情報に影響を与える可能性のある_________________に該当します。

シナリオ4：ブランディング社は、米国有数の有名企業と提携しているマーケティング会社です。社内コストを削減するため、ブランディング社は2年以上にわたり、ソフトウェア開発とITヘルプデスク業務をテックボロジー社にアウトソーシングしています。テックボロジー社は必要な専門知識を備え、ブランディング社のソフトウェア、ネットワーク、ハードウェアのニーズを管理しています。ブランディング社は情報セキュリティマネジメントシステム（ISMS）を導入し、ISO/IEC 27001の認証を取得しており、高い情報セキュリティ基準の維持に尽力しています。また、テックボロジー社へのアウトソーシング業務のセキュリティがISO/IEC 27001認証要件に準拠していることを確認するため、積極的に監査を実施しています。
前回の監査では、ブランディングの監査チームが監査対象のプロセスと監査スケジュールを定義しました。チームは、特に過去 1 年間にテックボロジーから報告された 2 件の情報セキュリティ インシデントを踏まえ、証拠に基づくアプローチを採用しました。重点は、これらのインシデントへの対応方法の評価と、アウトソーシング契約条件の遵守の確保に置かれました。監査は、テックボロジーによるアウトソーシング業務の品質監視方法の包括的なレビューから始まり、提供されたサービスがブランディングの期待と合意された基準を満たしているかどうかを評価しました。監査人は、テックボロジーが 2 つの組織間で確立された契約上の要件に準拠しているかどうかも検証しました。これには、情報セキュリティ対策を含むすべての側面が順守されていることを保証するために、アウトソーシング契約の条件を徹底的に調査することが含まれていました。
さらに、監査には、Techvologyがアウトソーシング先の業務やその他の組織を管理するために使用しているガバナンスプロセスの厳密な評価が含まれていました。このステップは、アウトソーシング契約に関連する潜在的なリスクを軽減するための適切な管理と監督メカニズムが整備されていることをBrandingが検証するために不可欠です。
監査人は、テックボロジー社の様々なレベルの従業員にインタビューを行い、インシデント解決記録を分析しました。さらに、テックボロジー社は、インシデント管理に関する意識啓発セッションを従業員に実施したことを示す証拠となる記録を提供しました。収集された情報に基づき、監査人は、2件の情報セキュリティインシデントはいずれも、能力不足の従業員によって引き起こされたと予測しました。そのため、監査人は、インシデントに関与した従業員の人事ファイルを閲覧し、関連する経験、資格、受講した研修の記録など、能力の証拠を確認しました。
Brandingの監査人は、入手した証拠の妥当性を批判的に評価し、受領した文書情報の信頼性に矛盾したり疑問を投げかけたりする可能性のある証拠には常に注意を払いました。Techvologyでの監査中も、監査人はインシデント解決記録を批判的に評価し、様々なレベルや部署の従業員に徹底的なインタビューを実施することで、このアプローチを維持しました。彼らはTechvologyの担当者の言葉をそのまま事実として鵜呑みにするのではなく、担当者のインシデント管理プロセスに関する主張を裏付ける具体的な証拠を求めました。
上記のシナリオに基づいて、次の質問に答えてください。
ISO/IEC 27001 要件によれば、Techvology が提供するサービスを継続的に管理するにはブランディングが必要ですか?

ステージ 1 を完了し、ステージ 2 の初期認証監査の準備として、監査対象者は、組織が最近取得した 2 つの追加サイトを含めるように監査範囲を拡張したいと監査チーム リーダーに伝えます。
この情報を考慮すると、監査チーム リーダーはどのようなアクションを取ると予想されますか?