[Day27]ISO 27001 附录 A.15 供应者关系

规划

组织要有委外管理的政策，在规划时应考量安全

合约

相关责任是否都纳入合约，包含分包、转包

执行

执行时是否合规

交付

交付方式，确保完整性

布署

变更管理、安全测试

运作

持续监控、事件管理

验收

验收的基准

A.15 供应者关系

A.15.1 供应者关系中之资讯安全

目标：确保对供应者可存取之组织资产的保护。

A.15.1.1 供应者关系之资讯安全政策

应与供应者议定并文件化，降低与供应者存取组织资产关联之风险的资讯安全要求事项。

• 组织要有委外管理的政策，在规划时应考量安全

A.15.1.2 於供应者协议中阐明安全性

应与每个可能存取、处理、储存或传达资讯，或提供IT 基础建设组件资讯之供应者，建立及议定所有相关资讯安全要求事项。

• 依组织的委外政策，在与供应商的合约中应要有安全性相关的条文，如：保密切结书

A.15.1.3 资讯及通讯技术供应链

与供应者之协议，应包含因应与资讯及通讯技术服务及产品供应链关联之资讯安全风险。

• 对供应商协议的安全要求延伸到相关之供应链，如：供应商分包断更、厂商技术人员离职、产品停止支援

A.15.2 供应者服务交付管理

目标：维持资讯安全及服务交付之议定等级与供应者协议一致。

A.15.2.1 供应者服务之监视及审查

组织应定期监视、审查及稽核供应者服务交付。

• 对供应商监督的展现，依协议的内容定义，如：技术服务维护纪录、去供应商现场查核、定期提供监控报告等等

A.15.2.2 管理供应者服务之变更

应管理供应者所提供服务之变更，包括维持及改善既有的资讯安全政策、程序及控制措施 ，并考量所涉及之营运资讯、系统及过程的关键性，以及风险之重新评监。

• 如果供应商原提供的服务改变，如：改变授权范围、版本重大更新等等，导致系统在二个月後不能再提供服务，应要先让委托方知晓，进行必要的风险评估与其他处理。

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：

晚班(Late Shift)

《Late Shift》 游戏讲述一个数学专业的大学生——马特，莫名其妙被卷入一场拍卖所的盗窃中，并试图证明自己的清白。游戏中玩家将会面临一系列的抉择，有些决定甚是微小，但却会导致截然不同的结果。本作剧本由《大侦探福尔摩斯》（2009年电影）作者创作，玩家将面临180多种选择，体验扣人心弦的剧情。你是选择偷车还是逃跑？是选择乖乖配合还是从中破坏？在游戏剧情推进的同时，玩家要在指定时间内进行抉择。影片为高清制作，玩家能享受到电影、游戏、互动叙事三者混合的超凡体验。一切的选择都在於你

STEAM：https://store.steampowered.com/app/584980/Late_Shift/
似乎是从电影改编而来，但还没时间玩 Q"Q