a)待提供或評估的信息以及提供或評估這些信息的方法的描述；

b)根據組織的信息分類框架（見&2）對信息分類；如果有必要，也在組織自己的分類框架和供應商的分類框架間做個映射c)法律和法規要求，包括數據保護，只是產權和版權，以及如何確保其被滿足的描述；

d)每個合約方實施控制措施的義務，其中包括訪問控制、績效評審、監視、報告以及審核； e)可接受的信息使用的規則，如果有必要，也包括不可接受的；

f)清晰的供應商員工授權訪問或接受組織信息的供應商列表或規程或授權條件； g)與特定合同相關的信息安全策略；

h)事件管理要求和規程（特別是事件糾正期間的通告與合作）；

i)特定規程和信息安全要求的培訓與意識要求，例如：事件響應、受權規程； j)相關的分包規定( regulation)，包括需要實施的控制措施；

k)相關的協議伙伴人，包括一個信息安全相關問題聯系人；

1)篩選要求，若有，如果供應商人員包括組織篩選的責任以及如果篩選沒有完成或接線顯示有理由懷疑或關注的通告程序； m)與協議相關的審計供應商的過程和控制措施的權利；

n)缺陷與沖突處理過程；

o)供應商定期遞交一份關于控制措施有效性的獨立報告的義務以及及時糾正在報告中提出的相關問題的協議；

p)供應商遵守組織安全要求的義務。

Other information

不同的組織和不同類型的供應商可能協議不同，因此宜包括注意所有相關的信息安全風險和要求。供應商協議可能也包括其他方，例如分包商。

持續處理供應商變得不能繼續供應其產品或服務的規程，需要在協議中考慮，防止任何安排替代產品或服務的延誤。