361該控制措施對(duì)應(yīng)的指南為

Control

Organizations should regularly monitor, review and audit supplier service delivery

Implementationguidance

對(duì)供應(yīng)商服務(wù)的監(jiān)視和評(píng)審以確保堅(jiān)持協(xié)議的信息安全條款和條件，且信息安全事件和問(wèn)題得到了恰當(dāng)?shù)墓芾怼?這宜包括一個(gè)組織和供應(yīng)商之間的管理關(guān)系過(guò)程：supplier to:

a)監(jiān)視服務(wù)績(jī)效水平與協(xié)議一致；

b)評(píng)審協(xié)議中所要求的供應(yīng)商的服務(wù)報(bào)告并安排定期的例會(huì)（各茫？需要提高接告是在A Li工3手要求的）； c1組織供應(yīng)商審計(jì)，如果可能，連同獨(dú)立的審計(jì)報(bào)告以及后續(xù)識(shí)別出的問(wèn)題；

d)評(píng)審供應(yīng)商審計(jì)蹤跡以及信息安全事件記錄、操作問(wèn)題、失敗、錯(cuò)誤跟蹤和與服務(wù)交付相關(guān)的中斷； fl解決并管理任何可能識(shí)別出的問(wèn)題；

g)評(píng)審供應(yīng)商與他們的供應(yīng)商關(guān)系中的信息安全方面；

h)確保供應(yīng)商有充足的服務(wù)能力以及設(shè)計(jì)的確保商定的重大服務(wù)失敗或?yàn)?zāi)難后所能保持的業(yè)務(wù)連續(xù)性水平的可行計(jì)劃(見(jiàn)條款17)。

管理供應(yīng)商關(guān)系的責(zé)任宜被分配給個(gè)人代表或服務(wù)管理團(tuán)隊(duì)。此外，組織宜確保供應(yīng)商分配評(píng)審符合性和加強(qiáng)協(xié)議要求的責(zé)任。 宜有足夠的技術(shù)技巧和資源監(jiān)視協(xié)議的要求，特別是信息安全要求，被滿(mǎn)足了。當(dāng)觀察到服務(wù)交付不足時(shí)，宜實(shí)施合適的行動(dòng)。

The organization should retain visibility into security activities such as change management, identification of vulnerabilities and information security incident reporting and response through a defined reporting process.組織宜保留足夠的整體控制和供應(yīng)商評(píng)估、處理或管理的敏感或關(guān)鍵的信息或信息處理設(shè)施的可見(jiàn)性。組織宜保留例如變更管理、脆弱性識(shí)別和通過(guò)確定好的報(bào)告過(guò)程報(bào)告或響應(yīng)信息安全事件等安全活動(dòng)的可見(jiàn)性。