8.7外部供應的產品和服務的控制

8.7.1概述

組織在使用外部服務，或者采購外部供方的硬件和軟件時，應確保外部供方管理過程適用于所有的外部供方，包括為組織提供服務的部分或者全部過程的外部供方。

為確保外部供方提供的過程、產品和服務不會對組織穩定地向需方交付服務的能力產生不利影響，組織應：

a)確保外部供方符合相關法律法規和相關方的要求；

b)確保外部供方提供的過程保持在其服務管理體系控制之中；

c)規定對外部供方的控制及其輸出結果的控制。

8.7.2外部供方控制的策劃

組織應制定外部供方管理程序，確保：

a)外部供方了解他們對組織所承擔的職責；

b)在約定的服務等級和范圍之內，約定的要求得到滿足；

c)對要求和職責的變更進行管理；

d)記錄所有方面之間的業務交易；

e)可以獲得所有外部供方的業績信息，并對其進行響應；

f)組織與需方的服務級別協議與外部供方的協議一致；

g)定期對外部供方的服務進行評審，至少每年一次。評審內容包括：

1)外部供方提供的服務是否有效；

2)是否達成了約定的績效。

8.7.3確定控制類型

為確保組織具有穩定地提供滿足需方要求和適用法律法規要求的服務能力，組織應考慮外部供方自身控制的有效性，確定必要的驗證或其他活動，以確保外部供方提供的產品和服務滿足要求。

組織宜確定以下的控制類型：

a)由外部供方提供檢測證明；

b)到外部供方進行審核；

c)對外部供方開展監理；

d)與外部供方共同開展工作，并承擔管理職責。

8.7.4外部供方的控制程度

組織應與外部供方確定以下信息：

a)服務的定義，職責和權限；

b)服務的范圍和能力水平；

c)外部供方須滿足的要求，例如：安全保密要求、過程控制要求、技術要求、資源要求、質量要求、交付時間要求、交付成果物要求等；

d)定義和約定的服務目標、懲罰或者目標未達成時的后果；

e)工作量特性，如交易的數量、服務器的數量或者數據庫的大小；

f)服務級別協議之外的約定的準則；

g)合同或協議管理過程，權限級別和爭議管理；

h)相關的支付條款；

i)通過約定的報告和記錄獲取運行的績效；

j)知識產權歸屬。

對每個外部供方，組織宜指定專人負責管理與外部供方的關系。當外部供方的服務有關聯時，組織宜與外部供方有專門的合同或協議。

如果外部供方的服務水平與服務級別協議不一致，組織應及時制定風險計劃來處置這個風險。