▉A15 Supplier relationships 供應者關係
└A.15.1 Information Security in supplier relationships 供應商關係中的資訊安全
• A.15.1.1 Information secunity policy for supplier relationships供應商關係之資訊安全政策
• A.15.1.2 Addressing security within supplier agreements 供應商協議中闡明安全性
○ 在每個可能存取、處理、儲存或傳達資訊,或提供IT基礎建設組件資訊之供應商,建立及議定所有相關資訊安全要求事項。
• A.15.1.3 Information and communication technology supply chain 資訊及通訊技術供應鏈
└A.15.2 Supplier service delivery managementA 供應商服務交付管理
• A.15.2.1 Monitoring and review of supplier services 供應商服務之監視與審查
• A.15.2.2 Managing changes to supplier services 管理應商服務之變更
○ 管理供應商提供服務之變更,包括維持及改善既有的資安政策、程序及控制措施,並考量所涉及之營運資訊、系統及過程的關鍵性,以及風險之重新評鑑。
我是在想,這個與前一章的"委外開發"也是有關聯的。
實務面上,遇過,簽了合約之後,寫的不夠清楚的狀況下,後續處理蠻多麻煩的。
所以,這一個章節,應該是有相關的規範,都寫在這個項目裡面了吧? 尤其是"合約",能詳細就詳細。
也最好是在找廠商的時候,就可以問問對方,對方的法務的想法(建議)是什麼。
在詢問的這個階段,就可以觀察後續處理的態度如何。