組織應定期監控、審查、審計供應商服務，確保協議中的信息安全條款和條件被遵守，監測發現的信息安全事件和問題得到妥善管理。應將管理供應商關系的責任分配給指定的個人或項目管理團隊。另外，組織應確保落實供應商符合性審查和相關協議要求強制執行的責任。應保持足夠的技術技能和資源的可用性以監視協議要求尤其是信息安全要求的實現。當發現服務交付的不足時，宜采取合適的措施。

當供應商提供的服務，包括對信息安全方針、規程和控制措施的維持和改進等發生變更時，應在考慮到其對業務信息、系統、過程的重要性和重新評估風險的基礎上修改監控、審查和審計的方法、范圍、頻率等。