5.2.11  供應商關系

供應商關系包含2個控制目標5個控制措施。

　　該控制措施應基于組織的訪問控制策略和組織要求供應商實施的過程和規(guī)程。

應該簽署并流程供應商安全協(xié)議，以確保組織和供應商雙方在關于履行相關信息安全要求的義務之間不存在誤解。

供應商安全協(xié)議應包括解決與信息和通信技術、產(chǎn)品供應鏈相關信息安全風險的要求。