组织可以在稽核的时侯，向供应商索取 ISMS 相关文件吗?

有几件事情需要先确认清楚

1. 契约/合约的履约范围以及合约相关附件、履约相关文件是否明订供应商应遵守事项与应提供文件。
2. 组织属於公务机关/财团法人/民营企业/上市上柜公司哪一种单位? 是否有上下级从属关系?
3. 供应商是否承诺在稽核时提供ISMS相关文件? 承诺是否有明确的文件化纪录及佐证?
4. 法令、国际标准、工会、业界规范、是否要求供应商在特定环境下，有限提供外部组织?
5. 供应商的 ISMS 文件是否已定义，在特定情境下，需向客户提供特定资讯或文件?

资讯安全管理制度文件(ISMS程序书)为组织内部文件，未经许可禁止外流...

1. 合约/契约及附件、履约相关文件等具有一定的法遵效力，因此组织向供应商索取合约范围内的文件，供应商应依合约履行。
2. 公务人员依法办理职掌内容，民营企业仅8大关键基础设施供应者(CI)纳入资安法，其它非资安法管制单位可能在其它法源要求下，被要求适时揭露有限资讯。有上下级从属关系的机构或企业，可能在相关法源或内部程序中订定资讯传递与管理考核机制程序，此程序名称不一定有"资安"、"资讯"、"网路安全"等关键字，但...经公告施行的程序与文件化纪录仍具备一定的效力。
3. 请参考第1项说明。
4. 有，资安事件通报与处理相关程序，应规范通知利害关系方条文，若组织为供应商认证之利害关系方，有可能依 ISMS 规范程序被供应商通知。
5. 请参考第4项说明。

其它补充

1. ISO 27001是一套资讯安全框架，组织依据此框架推广资安相关活动，在实作中确认程序与文件化纪录是否一致，也在发现不一致现象时，触发矫正改善程序，逐步完善制度。
2. 资安做的"好"，"好"的定义不是组织外部或组织内部的高阶主管、又或者是搞资安的那只猴子自我感觉良好，废宅心中觉得是能够与组织永续经营连动保持亘动关系，与时俱进的不断进化。