首页 > ISO27000认证 > ISO27000认证_“A.15.2 供应商服务交付管理”条款讲解

ISO27000认证_“A.15.2 供应商服务交付管理”条款讲解

文章来源：华道众合添加时间：2021-2-1

【标准条款】

A.15. 2 供应商服务交付管理

目的：维护与供应商协议一致的信息安全和服务交付的商定级别。

A.15.2.1 供应商服务的监视和评审

组织应定期监视、评审和审核供应商服务交付。

【理解与应用】

宜在组织和供应商间涉及服务管理关系过程以：

（1）监视服务性能水平以验证对协议的符合程度;

（2）评审供应商提交的服务报告，并按照协议要求安排定期进度会议;

（3）结合对独立审核员报告的评审（如果可用）和对所发现问题的追踪，审核供应商;

（4）提供关于信息安全事件的信息，并按照协议及任何支持指南和规程的要求评审该信息;

（5）评审供应商审核踪迹和与交付服务相关的信息安全事态、运行问题、失效、故障追踪和中断的记录;

（6）解决并管理任何被识别出的问题;

（7）评审自身供应商关系的信息安全方面;

（8）确保在主要服务出现故障或遭受灾难后，供应商维护了足够的服务能力及可行计划，以确保维护商定的服务连续性水平（见A.17业务连续性管理的信息安全方面）。

宜将管理供应商关系的责任分配给指定的个体或服务管理团队。另外，组织宜确保供应商为符合性评审和协议要求的强制执行分配了责任。宜有足够的技术能力和资源可用，以监视协议要求尤其是信息安全要求一直得到满足。当发现服务交付中的不足时，宜采取合适的措施。

组织宜对供应商访问、处理或管理的敏感或关键信息或信息处理设施的所有安全方面保持充分的、全面的控制和可见性。组织宜保持安全活动的可见性，诸如管理变更、脆弱性识别、按照规定的报告过程进行的信息安全事件报告和响应等。

【标准条款】

A.15.2.2 供应商服务的变更管理

应管理供应商所提供服务的变更，包括维护和改进现有的信息安全策略、规程和控制，管理应考虑变更涉及到的业务信息、系统和过程的关键程度及风险的再评估。

【理解与应用】

宜考虑以下方面：

（1）供应商协议的变更;

（2）组织做出的变更以实现：

——对当前提供服务的加强;

——任何新应用程序和系统的开发;

——组织策略和规程的修正或更新;

——新的或变更的控制以解决信息安全事件并提高安全性;

（3）供应商服务做出的变更以实现：

——网络的变更和强化;

——新技术的应用;

——新产品或新版本/发布的采用;

——新工具和环境的开发;

——服务设施物理位置的变更;

——供应商的变更;

——分包给其他供应商。

您可能还想看