a)待提供或評估的信息以及提供或評估這些信息的方法的描述；

b)根據(jù)組織的信息分類框架（見&2）對信息分類；如果有必要，也在組織自己的分類框架和供應商的分類框架間做個映射c)法律和法規(guī)要求，包括數(shù)據(jù)保護，只是產(chǎn)權和版權，以及如何確保其被滿足的描述；

d)每個合約方實施控制措施的義務，其中包括訪問控制、績效評審、監(jiān)視、報告以及審核； e)可接受的信息使用的規(guī)則，如果有必要，也包括不可接受的；

f)清晰的供應商員工授權訪問或接受組織信息的供應商列表或規(guī)程或授權條件； g)與特定合同相關的信息安全策略；

h)事件管理要求和規(guī)程（特別是事件糾正期間的通告與合作）；

i)特定規(guī)程和信息安全要求的培訓與意識要求，例如：事件響應、受權規(guī)程； j)相關的分包規(guī)定( regulation)，包括需要實施的控制措施；

k)相關的協(xié)議伙伴人，包括一個信息安全相關問題聯(lián)系人；

1)篩選要求，若有，如果供應商人員包括組織篩選的責任以及如果篩選沒有完成或接線顯示有理由懷疑或關注的通告程序； m)與協(xié)議相關的審計供應商的過程和控制措施的權利；

n)缺陷與沖突處理過程；

o)供應商定期遞交一份關于控制措施有效性的獨立報告的義務以及及時糾正在報告中提出的相關問題的協(xié)議；

p)供應商遵守組織安全要求的義務。

Other information

不同的組織和不同類型的供應商可能協(xié)議不同，因此宜包括注意所有相關的信息安全風險和要求。供應商協(xié)議可能也包括其他方，例如分包商。

持續(xù)處理供應商變得不能繼續(xù)供應其產(chǎn)品或服務的規(guī)程，需要在協(xié)議中考慮，防止任何安排替代產(chǎn)品或服務的延誤。