360該控制措施對應的指南為

Control

Agreements with suppliers should include requirements to address the information security risks associated with information and communica tions technology services and product supply chain.

Implementation guidance

宜考慮下面包含在供應商協議與供應鏈安全相關的主題：

a)確定除了通用的關于供應商關系信息安全要求之外的，應用于ICT產品與服務獲取的信息安全要求；

b)對ia服務而言，如果供應商分包一部分ICT服務，需要他們傳導組織的信息安全要求至整個供應鏈；

c)對ICT產品而言，如果供應商的產品包含了從其他組織購買的組件，需要他們傳導合適的信息安全實踐至整個供應鏈； d)應用監視過程和可接受的方法使交付的ia產品與服務合法化并堅持國家安全要求；

e)應用一個識別對獲取功能關鍵的產品與服務組件并因此需要額外的關注和監督的過程，尤其是上游的供應商外包了產品或服務的某些組件給其他供應商；

f)獲得關鍵組件及它們的來源在整個供應中可跟蹤的保證；

g)獲得交付的ICT產品或功能跟預期一致毫無不期望或不想要的特征的保證；

h)確定在組織與供應商之間分享與供應鏈和潛在要點以及這種方案相關的信息的規則；

i)實施特定的過程管理ia組件生命周期和可用性以及相關的安全風險。這包括管理由于商業或技術進步供應商不再提供這些組件。 Other information

特定的ICT供應鏈風險管理實踐建立在通用的信息安全、質量、項目管理和系統工程實踐之上，而不是替代他們。

建議組織與供應商一起工作以理解ia供應鏈和對產品與服務有重要影響的任何事件。組織能通過把協議里ICT供應鏈中其他供應商處理的任何問題界定清晰來影響ICT供應鏈信息安全實踐。

這里處理的ICT供應鏈包括云計算服務。