361該控制措施對應(yīng)的指南為

Control

Organizations should regularly monitor, review and audit supplier service delivery

Implementationguidance

對供應(yīng)商服務(wù)的監(jiān)視和評審以確保堅持協(xié)議的信息安全條款和條件，且信息安全事件和問題得到了恰當(dāng)?shù)墓芾怼?這宜包括一個組織和供應(yīng)商之間的管理關(guān)系過程：supplier to:

a)監(jiān)視服務(wù)績效水平與協(xié)議一致；

b)評審協(xié)議中所要求的供應(yīng)商的服務(wù)報告并安排定期的例會（各茫？需要提高接告是在A Li工3手要求的）； c1組織供應(yīng)商審計，如果可能，連同獨(dú)立的審計報告以及后續(xù)識別出的問題；

d)評審供應(yīng)商審計蹤跡以及信息安全事件記錄、操作問題、失敗、錯誤跟蹤和與服務(wù)交付相關(guān)的中斷； fl解決并管理任何可能識別出的問題；

g)評審供應(yīng)商與他們的供應(yīng)商關(guān)系中的信息安全方面；

h)確保供應(yīng)商有充足的服務(wù)能力以及設(shè)計的確保商定的重大服務(wù)失敗或?yàn)?zāi)難后所能保持的業(yè)務(wù)連續(xù)性水平的可行計劃(見條款17)。

管理供應(yīng)商關(guān)系的責(zé)任宜被分配給個人代表或服務(wù)管理團(tuán)隊。此外，組織宜確保供應(yīng)商分配評審符合性和加強(qiáng)協(xié)議要求的責(zé)任。 宜有足夠的技術(shù)技巧和資源監(jiān)視協(xié)議的要求，特別是信息安全要求，被滿足了。當(dāng)觀察到服務(wù)交付不足時，宜實(shí)施合適的行動。

The organization should retain visibility into security activities such as change management, identification of vulnerabilities and information security incident reporting and response through a defined reporting process.組織宜保留足夠的整體控制和供應(yīng)商評估、處理或管理的敏感或關(guān)鍵的信息或信息處理設(shè)施的可見性。組織宜保留例如變更管理、脆弱性識別和通過確定好的報告過程報告或響應(yīng)信息安全事件等安全活動的可見性。