信息安全之供应商关系二

　　组织应定期监控、审查、审计供应商服务，确保协议中的信息安全条款和条件被遵守，监测发现的信息安全事件和问题得到妥善管理。应将管理供应商关系的责任分配给指定的个人或项目管理团队。另外，组织应确保落实供应商符合性审查和相关协议要求强制执行的责任。应保持足够的技术技能和资源的可用性以监视协议要求尤其是信息安全要求的实现。当发现服务交付的不足时，宜采取合适的措施。

当供应商提供的服务，包括对信息安全方针、规程和控制措施的维持和改进等发生变更时，应在考虑到其对业务信息、系统、过程的重要性和重新评估风险的基础上修改监控、审查和审计的方法、范围、频率等。