5.2.11  供應商關系

供應商關系包含2個控制目標5個控制措施。

　　該控制措施應基于組織的訪問控制策略和組織要求供應商實施的過程和規程。

應該簽署并流程供應商安全協議，以確保組織和供應商雙方在關于履行相關信息安全要求的義務之間不存在誤解。

供應商安全協議應包括解決與信息和通信技術、產品供應鏈相關信息安全風險的要求。