360該控制措施對應(yīng)的指南為

Control

Agreements with suppliers should include requirements to address the information security risks associated with information and communica tions technology services and product supply chain.

Implementation guidance

宜考慮下面包含在供應(yīng)商協(xié)議與供應(yīng)鏈安全相關(guān)的主題：

a)確定除了通用的關(guān)于供應(yīng)商關(guān)系信息安全要求之外的，應(yīng)用于ICT產(chǎn)品與服務(wù)獲取的信息安全要求；

b)對ia服務(wù)而言，如果供應(yīng)商分包一部分ICT服務(wù)，需要他們傳導(dǎo)組織的信息安全要求至整個(gè)供應(yīng)鏈；

c)對ICT產(chǎn)品而言，如果供應(yīng)商的產(chǎn)品包含了從其他組織購買的組件，需要他們傳導(dǎo)合適的信息安全實(shí)踐至整個(gè)供應(yīng)鏈； d)應(yīng)用監(jiān)視過程和可接受的方法使交付的ia產(chǎn)品與服務(wù)合法化并堅(jiān)持國家安全要求；

e)應(yīng)用一個(gè)識(shí)別對獲取功能關(guān)鍵的產(chǎn)品與服務(wù)組件并因此需要額外的關(guān)注和監(jiān)督的過程，尤其是上游的供應(yīng)商外包了產(chǎn)品或服務(wù)的某些組件給其他供應(yīng)商；

f)獲得關(guān)鍵組件及它們的來源在整個(gè)供應(yīng)中可跟蹤的保證；

g)獲得交付的ICT產(chǎn)品或功能跟預(yù)期一致毫無不期望或不想要的特征的保證；

h)確定在組織與供應(yīng)商之間分享與供應(yīng)鏈和潛在要點(diǎn)以及這種方案相關(guān)的信息的規(guī)則；

i)實(shí)施特定的過程管理ia組件生命周期和可用性以及相關(guān)的安全風(fēng)險(xiǎn)。這包括管理由于商業(yè)或技術(shù)進(jìn)步供應(yīng)商不再提供這些組件。 Other information

特定的ICT供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐建立在通用的信息安全、質(zhì)量、項(xiàng)目管理和系統(tǒng)工程實(shí)踐之上，而不是替代他們。

建議組織與供應(yīng)商一起工作以理解ia供應(yīng)鏈和對產(chǎn)品與服務(wù)有重要影響的任何事件。組織能通過把協(xié)議里ICT供應(yīng)鏈中其他供應(yīng)商處理的任何問題界定清晰來影響ICT供應(yīng)鏈信息安全實(shí)踐。

這里處理的ICT供應(yīng)鏈包括云計(jì)算服務(wù)。