(二) 委外管理
委外大約是1980年代開始的，當時的組織為了節省成本、專注於本身核心業務、有效利用其他便宜的勞動成本、資源、技術等各種原因，會將本身的業務或作業委託給其他人執行。經過時間的演變，在現今資訊化的社會下，委外的行為已經無所不在了，也正因此，委外對於組織資訊安全來說就是一種威脅。在目前的章節我們是在討論委外這件事情的執行，條文要求寫得很簡單，組織應確認委外之過程是被建立及控管；但在附錄A.15 供應商關係的控制措施中有完整敘述針對供應商的管控、委外與資訊安全的要求與關連的事項。委外管理最重要的觀念：委外跟組織內執行業務應該都要遵守資訊安全管理系統的規範。換言之，委外不是例外，都要遵守資訊安全政策及程序(除非另有規定)，下圖顯示最底層是組織的政策及程序，中層及上層分別是所執行的業務，這個架構就可以讓大家清楚委外管理的本質。

在前面管理系統八大原理中，曾經提及供應鏈的管理，委外就是結合供應鏈的重要環節，下面這張圖整合兩個資訊安全管理系統，一是組織本身的資訊安全管理系統，另一個則是委外組織的資訊安全管理系統，ISO組織希望以標準整合供應鏈，並讓委外組織的資訊安全得到一定水準之管控，從這張圖就可以清楚說明。另外ISO組織發布的ISO/IEC 27036系列標準，就是用來敘述資訊安全供應鏈安全，如有需要可以參考。

委外的重點在於事前準備工作，組織應先想清楚要委外的事項，以及這些事項與資訊安全的關係。回到第四章的全景分析，這些事項與哪些內外部議題與利害關係者的要求有關，在風險分析中哪些是必須要控制及處理的風險，將這些分析出來，再看看委外後如何達到原來的資訊安全要求及目標、如何管控委外廠商其資訊安全管理水準與組織本身一致並達到相同水準。下圖是委外的步驟：