▉A15 Supplier relationships 供應者關係
└A.15.1 Information Security in supplier relationships 供應商關係中的資訊安全
• A.15.1.1 Information secunity policy for supplier relationships供應商關係之資訊安全政策
• A.15.1.2 Addressing security within supplier agreements 供應商協議中闡明安全性
○ 在每個可能存取、處理、儲存或傳達資訊，或提供IT基礎建設組件資訊之供應商，建立及議定所有相關資訊安全要求事項。
• A.15.1.3 Information and communication technology supply chain 資訊及通訊技術供應鏈

└A.15.2 Supplier service delivery managementA 供應商服務交付管理
• A.15.2.1 Monitoring and review of supplier services 供應商服務之監視與審查
• A.15.2.2 Managing changes to supplier services 管理應商服務之變更
○ 管理供應商提供服務之變更，包括維持及改善既有的資安政策、程序及控制措施，並考量所涉及之營運資訊、系統及過程的關鍵性，以及風險之重新評鑑。

我是在想，這個與前一章的"委外開發"也是有關聯的。
實務面上，遇過，簽了合約之後，寫的不夠清楚的狀況下，後續處理蠻多麻煩的。
所以，這一個章節，應該是有相關的規範，都寫在這個項目裡面了吧? 尤其是"合約"，能詳細就詳細。
也最好是在找廠商的時候，就可以問問對方，對方的法務的想法(建議)是什麼。
在詢問的這個階段，就可以觀察後續處理的態度如何。