Day20_控制项(A15供应者关系)

▉A15 Supplier relationships 供应者关系
└A.15.1 Information Security in supplier relationships 供应商关系中的资讯安全
• A.15.1.1 Information secunity policy for supplier relationships供应商关系之资讯安全政策
• A.15.1.2 Addressing security within supplier agreements 供应商协议中阐明安全性
○ 在每个可能存取、处理、储存或传达资讯，或提供IT基础建设组件资讯之供应商，建立及议定所有相关资讯安全要求事项。
• A.15.1.3 Information and communication technology supply chain 资讯及通讯技术供应链

└A.15.2 Supplier service delivery managementA 供应商服务交付管理
• A.15.2.1 Monitoring and review of supplier services 供应商服务之监视与审查
• A.15.2.2 Managing changes to supplier services 管理应商服务之变更
○ 管理供应商提供服务之变更，包括维持及改善既有的资安政策、程序及控制措施，并考量所涉及之营运资讯、系统及过程的关键性，以及风险之重新评监。

我是在想，这个与前一章的"委外开发"也是有关联的。
实务面上，遇过，签了合约之後，写的不够清楚的状况下，後续处理蛮多麻烦的。
所以，这一个章节，应该是有相关的规范，都写在这个项目里面了吧? 尤其是"合约"，能详细就详细。
也最好是在找厂商的时候，就可以问问对方，对方的法务的想法(建议)是什麽。
在询问的这个阶段，就可以观察後续处理的态度如何。