待提供或评估的信息以及提供或评估这些信息的方法

a)待提供或评估的信息以及提供或评估这些信息的方法的描述；

b)根据组织的信息分类框架（见&2）对信息分类；如果有必要，也在组织自己的分类框架和供应商的分类框架间做个映射c)法律和法规要求，包括数据保护，只是产权和版权，以及如何确保其被满足的描述；

d)每个合约方实施控制措施的义务，其中包括访问控制、绩效评审、监视、报告以及审核； e)可接受的信息使用的规则，如果有必要，也包括不可接受的；

f)清晰的供应商员工授权访问或接受组织信息的供应商列表或规程或授权条件； g)与特定合同相关的信息安全策略；

h)事件管理要求和规程（特别是事件纠正期间的通告与合作）；

i)特定规程和信息安全要求的培训与意识要求，例如：事件响应、受权规程； j)相关的分包规定( regulation)，包括需要实施的控制措施；

k)相关的协议伙伴人，包括一个信息安全相关问题联系人；

1)筛选要求，若有，如果供应商人员包括组织筛选的责任以及如果筛选没有完成或接线显示有理由怀疑或关注的通告程序； m)与协议相关的审计供应商的过程和控制措施的权利；

n)缺陷与冲突处理过程；

o)供应商定期递交一份关于控制措施有效性的独立报告的义务以及及时纠正在报告中提出的相关问题的协议；

p)供应商遵守组织安全要求的义务。

Other information

不同的组织和不同类型的供应商可能协议不同，因此宜包括注意所有相关的信息安全风险和要求。供应商协议可能也包括其他方，例如分包商。

持续处理供应商变得不能继续供应其产品或服务的规程，需要在协议中考虑，防止任何安排替代产品或服务的延误。