19.3 第三方服務提供管理（MCO_TSM）

19.3.1　安全保障管理目的

組織機構應執行和維護第三方服務提供協議中規定的信息安全級別和服務提供級別。
組織機構應驗證協議的執行情況，監控實際操作與協議的符合程度，管理與協議不符的地方，以確保第三方所提供的服務達到了協議中的要求。

19.3.2　MCO_TSM.1 服務提供

19.3.2.1　管理保障控制組件控制

組織機構應確保第三方實施了第三方服務提供協議中所規定的安全控制措施、服務定義和提供服務的級別。

19.3.2.2　管理保障控制組件注解

第三方應提安全部署、服務定義和服務管理方面的服務。在將安全部署外包時，組織機構應計劃整個信息和信息處理設施的轉換過程（需要移動的信息、信息處理設施等)并確保整個轉換過程的安全性。

19.3.3　MCO_TSM.2 第三方服務的監控和審核

19.3.3.1　管理保障控制組件控制

組織機構應定期監控和審查第三方所提供的服務、報告和記錄，對其行為定期審計。

19.3.3.2　管理保障控制組件注解

組織機構在監控和審查第三方服務時，應確保第三方行為符合協議中規定的信息安全條款，第三方能夠正確處理信息安全事故。這些涉及到組織機構和第三方之間的服務管理關系和管理過程：
a) 監控服務實施級別以驗證第三方行為是否符合協議要求；
b) 審查第三方所寫的服務報告，按照協議中的要求安排定期會議；
c) 提供信息安全事故信息，審查協議中第三方信息以及支持指南和流程；
d) 審查第三方審計跟蹤記錄以及與安全事件、運行問題、故障、錯誤跟蹤和交付服務相關的破壞記錄；
e) 解決和管理所有發現的問題。
管理第三方關系的職責應分配到指定的個人或服務管理小組。另外，組織機構應確保第三方分配了關于符合性檢查和實施協議中條款的人員職責。應使用一定的技術技巧和技術資源監控第三方是否滿足了協議中的要求，特別是信息安全要求。當第三方所提供的服務存在不足時，應采取適當的措施。
組織機構應能夠全面控制由第三方訪問、處理或管理的重要信息或信息處理設施的安全。組織機構應確保能通過一個定義清晰的匯報過程、匯報格式和匯報結構了解所有的安全活動，如變更管理，脆弱性識別和信息安全事故匯報/響應。

19.3.4　MCO_TSM.3 管理第三方服務的變更

19.3.4.1　管理保障控制組件控制

考慮到所涉及的業務系統、業務過程和風險再評估的重要性，組織機構應管理服務的變更過程，包括為改進現有的信息安全策略、流程和控制措施所實施的變更。

19.3.4.2　管理保障控制組件注解

在管理第三方服務變更過程中應考慮：
a) 組織機構實施的變更：
1) 增強當前所提供的服務；
2) 開發新應用和新系統；
3) 修改或更新組織機構的策略和流程；
4) 解決信息安全事故和提高系統安全性所采取的新控制；
b) 第三方服務實施的變更：
1) 改變網絡；
2) 使用新技術；
3) 采用新產品或新版本；
4) 新的開發工具和環境；
5) 服務設備改變了物理位置；
6) 更換投資商。