15.2供應商服務交付管理

15.2供應商服務交付管理

15.2.1供應商服務的監視和審查

控制
組織宜定期監視、評審和審核供應商服務交付。
實現指南
宜監視和評審供應商服務，以確保協議中的信息安全條款和條件被遵守，并且信息安全事件和問題得到妥善管理。
宜在組織和供應商間涉及服務管理關系過程以：
a) 監視服務性能水平以驗證對協議的符合程度；
b) 評審供應商提交的服務報告，并按照協議要求安排定期進度會議；
c) 結合對獨立審核員報告的評審（如果可用）和對所發現問題的追蹤，審核供應商；
d) 提供關于信息安全事件的信息，并按照協議及任何支持指南和規程的要求評審該信息；
e) 評審供應商審核蹤跡和與交付服務相關的信息安全事態、運行問題、失效、故障追蹤和中斷的記錄；
f) 解決并管理任何被識別出的問題；
g) 評審供應商與其自身供應商關系上的信息安全方面；
h) 確保在主要服務出現故障或遭受災難后，供應商維護了足夠的服務能力及可行計劃，以確保維護商定的服務連續性水平（見第17章）。
宜將管理供應商關系的責任分配給指定的個體或服務管理團隊。另外，組織宜確保供應商為符合性評審和協議要求的強制執行分配了責任。宜有足夠的技術能力和資源可用，以監視協議要求尤其是信息安全要求一直得到滿足。當發現服務交付中的不足時，宜采取合適的措施。

15.2.2供應商服務的變更管理

控制
宜管理供應商所提供服務的變更，包括維護和改進現有的信息安全策略、規程和控制，管理宜考慮變更涉及到的業務信息、系統和過程的關鍵程度及風險的再評估。
實現指南
宜考慮以下方面：
a) 供應商協議的變更；
b) 組織做出的變更以實現：
1) 對當前提供服務的加強；
2) 任何新應用程序和系統的開發；
3) 組織策略和規程的修正或更新；
4) 新的或變更的控制以解決信息安全事件并提高安全性；
c) 供應商服務做出的變更以實現：
1) 網絡的變更和強化；
2) 新技術的應用；
3) 新產品或新版本/發布的采用；
4) 新工具和環境的開發；
5) 服務設施物理位置的變更；
6) 供應商的變更；