有幾件事情需要先確認清楚

1. 契約/合約的履約範圍以及合約相關附件、履約相關文件是否明訂供應商應遵守事項與應提供文件。
2. 組織屬於公務機關/財團法人/民營企業/上市上櫃公司哪一種單位? 是否有上下級從屬關係?
3. 供應商是否承諾在稽核時提供ISMS相關文件? 承諾是否有明確的文件化紀錄及佐證?
4. 法令、國際標準、工會、業界規範、是否要求供應商在特定環境下，有限提供外部組織?
5. 供應商的 ISMS 文件是否已定義，在特定情境下，需向客戶提供特定資訊或文件?

資訊安全管理制度文件(ISMS程序書)為組織內部文件，未經許可禁止外流...

1. 合約/契約及附件、履約相關文件等具有一定的法遵效力，因此組織向供應商索取合約範圍內的文件，供應商應依合約履行。
2. 公務人員依法辦理職掌內容，民營企業僅8大關鍵基礎設施供應者(CI)納入資安法，其它非資安法管制單位可能在其它法源要求下，被要求適時揭露有限資訊。有上下級從屬關係的機構或企業，可能在相關法源或內部程序中訂定資訊傳遞與管理考核機制程序，此程序名稱不一定有"資安"、"資訊"、"網路安全"等關鍵字，但...經公告施行的程序與文件化紀錄仍具備一定的效力。
3. 請參考第1項說明。
4. 有，資安事件通報與處理相關程序，應規範通知利害關係方條文，若組織為供應商認證之利害關係方，有可能依 ISMS 規範程序被供應商通知。
5. 請參考第4項說明。

其它補充

1. ISO 27001是一套資訊安全框架，組織依據此框架推廣資安相關活動，在實作中確認程序與文件化紀錄是否一致，也在發現不一致現象時，觸發矯正改善程序，逐步完善制度。
2. 資安做的"好"，"好"的定義不是組織外部或組織內部的高階主管、又或者是搞資安的那隻猴子自我感覺良好，廢宅心中覺得是能夠與組織永續經營連動保持亙動關係，與時俱進的不斷進化。