361該控制措施對應的指南為

Control

Organizations should regularly monitor, review and audit supplier service delivery

Implementationguidance

對供應商服務的監視和評審以確保堅持協議的信息安全條款和條件，且信息安全事件和問題得到了恰當的管理。 這宜包括一個組織和供應商之間的管理關系過程：supplier to:

a)監視服務績效水平與協議一致；

b)評審協議中所要求的供應商的服務報告并安排定期的例會（各茫？需要提高接告是在A Li工3手要求的）； c1組織供應商審計，如果可能，連同獨立的審計報告以及后續識別出的問題；

d)評審供應商審計蹤跡以及信息安全事件記錄、操作問題、失敗、錯誤跟蹤和與服務交付相關的中斷； fl解決并管理任何可能識別出的問題；

g)評審供應商與他們的供應商關系中的信息安全方面；

h)確保供應商有充足的服務能力以及設計的確保商定的重大服務失敗或災難后所能保持的業務連續性水平的可行計劃(見條款17)。

管理供應商關系的責任宜被分配給個人代表或服務管理團隊。此外，組織宜確保供應商分配評審符合性和加強協議要求的責任。 宜有足夠的技術技巧和資源監視協議的要求，特別是信息安全要求，被滿足了。當觀察到服務交付不足時，宜實施合適的行動。

The organization should retain visibility into security activities such as change management, identification of vulnerabilities and information security incident reporting and response through a defined reporting process.組織宜保留足夠的整體控制和供應商評估、處理或管理的敏感或關鍵的信息或信息處理設施的可見性。組織宜保留例如變更管理、脆弱性識別和通過確定好的報告過程報告或響應信息安全事件等安全活動的可見性。