9.3.6　信息安全組織

6.1　內(nèi)部組織

目標(biāo)：管理組織內(nèi)部的安全。

應(yīng)建立管理框架，以啟動和控制組織范圍內(nèi)的信息安全的實(shí)施。

管理者應(yīng)批準(zhǔn)整個組織內(nèi)的信息安全方針、分配安全角色并協(xié)調(diào)和評審安全的實(shí)施。

若需要，要在組織范圍內(nèi)建立信息安全專家建議的資料源，并在整個組織內(nèi)均可獲得該資料。要發(fā)展與外部安全專家或組織（包括相關(guān)權(quán)威人士）的聯(lián)系，以便跟上行業(yè)發(fā)展趨勢、跟蹤標(biāo)準(zhǔn)和評估方法，并且當(dāng)處理信息安全事故時，提供合適的聯(lián)絡(luò)地點(diǎn)。應(yīng)鼓勵信息安全的多學(xué)科交叉途徑。

6.1.1　信息安全管理承諾

控制

管理者應(yīng)通過清晰的方向、說明性承諾、明確的信息安全職責(zé)分配和確認(rèn)，來積極地支持組織內(nèi)的安全。

實(shí)施指南

管理者應(yīng)該：

a) 確保信息安全目標(biāo)得以識別，滿足組織需求，并已被整合到相關(guān)過程中；

b) 制定、評審、批準(zhǔn)信息安全方針；

c) 評審信息安全方針實(shí)施的有效性；

d) 為安全舉措提供清晰的方向和可視化的管理者支持；

e) 為信息安全提供所需的資源；

f) 批準(zhǔn)整個組織內(nèi)信息安全特定角色和職責(zé)的分配；

g) 啟動計劃和程序來保持信息安全意識；

h) 確保整個組織內(nèi)的信息安全控制的實(shí)施相互協(xié)調(diào)（見6.1.2）。

管理者應(yīng)識別尋求內(nèi)外部專家的信息安全建議的需要，并在整個組織內(nèi)評審和協(xié)調(diào)建議結(jié)果。

根據(jù)組織的規(guī)模不同，這些職責(zé)可以由一個專門的管理協(xié)調(diào)小組或由一個已存在的機(jī)構(gòu)

（例如董事會）承擔(dān)。其他信息

更多內(nèi)容可參考ISO/IEC TR 13335-1：2004。

6.1.2　信息安全協(xié)調(diào)

控制

信息安全活動應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行協(xié)調(diào)。

實(shí)施指南

典型的，信息安全協(xié)調(diào)應(yīng)包含管理人員、用戶、行政人員、應(yīng)用設(shè)計人員、審核員和安全專員，以及各領(lǐng)域技術(shù)專家的協(xié)調(diào)和協(xié)作，這些領(lǐng)域包括保險、法律問題、人力資源、IT或風(fēng)險管理等。這些活動應(yīng)該：

a) 確保安全活動的實(shí)施與信息安全方針相一致；

b) 確定如何處理不符合安全方針的事項(xiàng)；

c) 核準(zhǔn)信息安全相關(guān)的方法和過程，例如風(fēng)險評估、信息分類；

d) 識別重大的威脅變化和信息系統(tǒng)內(nèi)暴露于威脅下的信息和信息處理過程；

e) 評估信息安全控制實(shí)施的充分性和協(xié)調(diào)性；

f) 有效地促進(jìn)整個組織內(nèi)的信息安全教育、培訓(xùn)和意識；

g) 評價在信息安全事故的監(jiān)視和評審中獲得的信息，推薦適當(dāng)?shù)拇胧╉憫?yīng)識別的信息安全事故。

如果組織沒有使用一個獨(dú)立的跨部門的小組，例如因?yàn)檫@樣的小組對組織規(guī)模來說是不適當(dāng)?shù)模敲瓷厦婷枋龅拇胧?yīng)由其他的合適的管理機(jī)構(gòu)或單獨(dú)管理人員實(shí)施。

6.1.3　信息安全職責(zé)分配

控制

所有的信息安全職責(zé)應(yīng)予以清晰地定義。

實(shí)施指南

信息安全職責(zé)的分配應(yīng)和信息安全方針（見5.1）相一致。各個資產(chǎn)的保護(hù)和執(zhí)行特定安全過程的職責(zé)應(yīng)被清晰地識別。這些職責(zé)應(yīng)在必要時加以補(bǔ)充，來為特定地點(diǎn)和信息處理設(shè)施提供更詳細(xì)的指南。資產(chǎn)保護(hù)和執(zhí)行特定安全過程（諸如業(yè)務(wù)連續(xù)性規(guī)劃）的局部職責(zé)應(yīng)予以清晰地定義。

分配有安全職責(zé)的人員可以將安全任務(wù)委托給其他人員。盡管如此，他們?nèi)匀回?fù)有責(zé)任，并且他們應(yīng)能夠確定任何被委托的任務(wù)是否已被正確地執(zhí)行。

個人負(fù)責(zé)的領(lǐng)域要予以清晰的規(guī)定，特別地，應(yīng)進(jìn)行下列工作：

a) 與每個特殊系統(tǒng)相關(guān)的資產(chǎn)和安全過程應(yīng)予以標(biāo)識并清晰地定義；

b) 應(yīng)分配每一資產(chǎn)或安全過程的實(shí)體職責(zé)，并且應(yīng)形成該職責(zé)細(xì)節(jié)的文件；

c) 授權(quán)級別應(yīng)清晰地予以定義，并形成文件。

其他信息

在許多組織中，將任命一名信息安全管理人員全面負(fù)責(zé)安全的開發(fā)和實(shí)施，并支持控制措施的識別。

然而，提供控制資源并實(shí)施這些控制的職責(zé)通常歸于各個管理者。一種通常的做法是對每一資產(chǎn)指定一名擁有者，他也就對該信息資產(chǎn)的日常保護(hù)負(fù)責(zé)。

6.1.4　信息處理設(shè)施的授權(quán)問題

控制

應(yīng)規(guī)定并實(shí)施新信息處理設(shè)施的管理授權(quán)過程。

實(shí)施指南

授權(quán)過程應(yīng)考慮下列指南：

a) 新設(shè)施要有相應(yīng)用戶管理者的授權(quán)，以授權(quán)設(shè)施的用途和使用；還要獲得負(fù)責(zé)維護(hù)本地系統(tǒng)安全環(huán)境的管理者授權(quán)，以確保所有相關(guān)安全策略和要求得到滿足；

b) 若需要，硬件和軟件應(yīng)進(jìn)行檢驗(yàn)，以確保它們與其他系統(tǒng)部件兼容；

c) 使用個人或私有信息處理設(shè)施（例如膝上電腦、家用電腦或手上裝置）處理業(yè)務(wù)信息，可能引起新的脆弱點(diǎn)，因此應(yīng)識別和實(shí)施必要的控制。

6.1.5　保密協(xié)議

控制

應(yīng)識別并定期評審反映組織信息保護(hù)需要的保密或非擴(kuò)散協(xié)議的需求。

實(shí)施指南

保密或不泄露協(xié)議應(yīng)使用合法可實(shí)施條款來解決保護(hù)機(jī)密信息的要求。要識別保密或不泄露協(xié)議的要求，需考慮下列因素：

a) 定義要保護(hù)的信息（如機(jī)密信息）；

b) 協(xié)議的期望持續(xù)時間，包括不確定的需要維持保密性的情形；

c) 協(xié)議終止時所需的措施；

d) 為避免未授權(quán)信息泄露的簽署者的職責(zé)和行為（即“需要知道的”）

e) 信息所有者、商業(yè)秘密和知識產(chǎn)權(quán)，以及他們?nèi)绾闻c機(jī)密信息保護(hù)相關(guān)聯(lián)；

f) 機(jī)密信息的許可使用，及簽署者使用信息的權(quán)力；

g) 對涉及機(jī)密信息的活動的審計監(jiān)視權(quán)力；

h) 未授權(quán)泄露或機(jī)密信息破壞的通知和報告過程；

i) 關(guān)于協(xié)議終止時信息歸檔或銷毀的條款；

j) 違反協(xié)議后期望采取的措施。

基于一個組織的安全需求，在保密性或不泄露協(xié)議中可能需要其他因素。

保密性和不泄露協(xié)議應(yīng)針對它適用的管轄范圍（見15.1.1）遵循所有適用的法律法規(guī)。

保密性和不泄露協(xié)議的要求應(yīng)進(jìn)行周期性評審，當(dāng)發(fā)生影響這些需求的變更時，也要進(jìn)行評審。

其他信息

保密性和不泄密協(xié)議保護(hù)組織信息，并告知簽署者他們的職責(zé)，以授權(quán)、負(fù)責(zé)的方式保護(hù)、使用和泄露信息。

對于一個組織來說，可能需要在不同環(huán)境中使用保密性或不泄密協(xié)議的不同格式。

6.1.6　與政府機(jī)構(gòu)的聯(lián)系

控制

應(yīng)保持與相關(guān)政府機(jī)構(gòu)的適當(dāng)聯(lián)系。

實(shí)施指南

組織應(yīng)建立程序，規(guī)定何時應(yīng)當(dāng)與哪個機(jī)構(gòu)（例如，執(zhí)法部門、消防局、監(jiān)管部門）聯(lián)系，如果懷疑已識別的信息安全事故可能觸犯了法律，如何及時報告。

由于互聯(lián)網(wǎng)而遭受攻擊的組織可能需要外部第三方（例如互聯(lián)網(wǎng)服務(wù)提供商或電信運(yùn)營商）采取措施以抵制攻擊源。

其他信息

保持這樣的聯(lián)系可能是支持信息安全事故管理（第13.2節(jié)）或業(yè)務(wù)連續(xù)性和偶然性規(guī)劃過程（第14章）的一個要求。與法規(guī)部門的聯(lián)系也是有用的，以預(yù)測和準(zhǔn)備即將到來的組織必須遵循的法律法規(guī)方面的變化。與其他部門的聯(lián)系包括公共部門、緊急服務(wù)和健康安全部門，例如消防局（與第14章的業(yè)務(wù)連續(xù)性有關(guān)）、電信提供商（與路由和可用性有關(guān)）、用水供應(yīng)者（與設(shè)備的冷卻設(shè)施有關(guān)）。

6.1.7　與特殊利益團(tuán)體的聯(lián)系

控制

應(yīng)保持與特殊利益團(tuán)體或其他專家安全論壇和行業(yè)協(xié)會的適當(dāng)聯(lián)系。

實(shí)施指南

獲得特殊利益團(tuán)體或論壇的成員資格，應(yīng)考慮將其作為一種方式來：

a) 增進(jìn)關(guān)于相關(guān)安全信息的最佳實(shí)踐和最新狀態(tài)的知識；

b) 確保對于信息安全環(huán)境的理解是最新的和完整的；

c) 盡早接受到關(guān)于攻擊和脆弱點(diǎn)的警告、建議和補(bǔ)充；

d) 獲得得到信息安全專家建議的途徑；

e) 分享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅或脆弱點(diǎn)的信息；

f) 提供處理信息安全事故時的適應(yīng)的聯(lián)絡(luò)地點(diǎn)（見13.2.1）。

其他信息

建立信息共享協(xié)議來改進(jìn)安全問題的協(xié)作和協(xié)調(diào)。這種協(xié)議應(yīng)識別出保護(hù)敏感信息的要求。

6.1.8　信息安全的獨(dú)立評審

控制

應(yīng)按計劃的時間間隔或當(dāng)發(fā)生重大的信息安全變化時，對組織的信息安全管理方法及其實(shí)施情況（如信息安全控制目標(biāo)、控制措施、策略、過程和程序）進(jìn)行獨(dú)立評審。

實(shí)施指南

獨(dú)立評審應(yīng)由管理者發(fā)起。這種獨(dú)立評審對確保組織管理信息安全方法的持續(xù)適宜性、充分性和有效性是必需的。評審應(yīng)包括評價安全方法改進(jìn)的機(jī)會和變更的需要，包括策略和控制目標(biāo)。

這樣的評審應(yīng)由獨(dú)立于被評審區(qū)域的個人執(zhí)行，例如內(nèi)部審核部門、獨(dú)立的管理者或?qū)ｉT做這種評審的第三方組織。從事這些評審的個人應(yīng)具備適當(dāng)?shù)募寄芎徒?jīng)驗(yàn)。

獨(dú)立評審的結(jié)果應(yīng)被記錄并報告給啟動評審的管理者。這些記錄應(yīng)加以保持。

如果獨(dú)立評審識別出組織管理信息安全的方法和實(shí)施不充分或不符合信息安全策略文件（見5.1.1）中聲明的信息安全的方向，管理者應(yīng)考慮糾正措施。

其他信息

管理者應(yīng)定期評審（15.2.1）的區(qū)域也要獨(dú)立評審。評審方法包括訪談管理者、檢查記錄或安全策略文件的評審。ISO 19011：2002，質(zhì)量和/或環(huán)境管理體系審核指南，也提供實(shí)施獨(dú)立評審的有幫助的指導(dǎo)信息，包括評審方案的建立和實(shí)施。15.3詳細(xì)說明了與運(yùn)行的信息系統(tǒng)獨(dú)立評審相關(guān)的控制和系統(tǒng)審核工具的使用。

6.2　外部組織

目標(biāo)：保持被外部組織訪問、處理、溝通或管理的組織信息及信息處理設(shè)備的安全。

組織的信息處理設(shè)施和信息資產(chǎn)的安全不應(yīng)由于引入外部各方的產(chǎn)品或服務(wù)而降低。

任何外部各方對組織信息處理設(shè)施的訪問、對信息資產(chǎn)的處理和通信都應(yīng)予以控制。

若有與外部各方一起工作的業(yè)務(wù)需要，它可能要求訪問組織的信息和信息處理設(shè)施、從外部各方獲得一個產(chǎn)品和服務(wù)或提供給外部各方一個產(chǎn)品和服務(wù)，就要進(jìn)行風(fēng)險評估，以確定安全蘊(yùn)涵和控制要求。在與外部各方簽訂的合同中要商定和定義控制措施。

6.2.1　識別與外部組織相關(guān)的風(fēng)險

控制

應(yīng)識別來自涉及外部組織的業(yè)務(wù)過程的信息和信息處理設(shè)施的風(fēng)險，并在允許訪問前實(shí)施適當(dāng)?shù)目刂啤?/p>

實(shí)施指南

當(dāng)需要允許外部組織訪問組織的信息處理設(shè)施或信息時，應(yīng)實(shí)施風(fēng)險評估以識別特定控制的需求。關(guān)于外部組織訪問的風(fēng)險的識別應(yīng)考慮以下問題：

a) 外部組織需要訪問的信息處理設(shè)施；

b) 外部組織對信息和信息處理設(shè)施的訪問類型，例如：

1) 物理訪問，例如進(jìn)入辦公室，計算機(jī)機(jī)房，檔案室；

2) 邏輯訪問，例如訪問組織的數(shù)據(jù)庫，信息系統(tǒng)；

3) 組織和外部組織網(wǎng)絡(luò)的網(wǎng)絡(luò)連接，例如永久性連接、遠(yuǎn)程訪問；

4) 現(xiàn)場訪問還是非現(xiàn)場訪問；

c) 所涉及信息的價值和敏感性，以及對業(yè)務(wù)運(yùn)行的危險程度；

d) 保護(hù)不打算被外部組織訪問到的信息所需要的控制；

e) 處理組織信息所涉及的外部組織的人員；

f) 組織或授權(quán)訪問的人員如何被識別、進(jìn)行授權(quán)驗(yàn)證，多長時間需要重新確認(rèn)；

g) 外部組織在儲存、處理、傳送、共享和交換信息過程中所使用的不同的方法和控制；

h) 當(dāng)需要時外部組織無法獲得訪問，外部組織進(jìn)入或接收到不正確的信息或誤導(dǎo)信息的影響；

i) 處理信息安全事故和潛在破壞的慣例和程序，當(dāng)發(fā)生信息安全事故時外部組織繼續(xù)訪問的期限和條件；

j) 應(yīng)考慮與外部組織有關(guān)的法律法規(guī)要求和其他合同責(zé)任；

k) 其他利益相關(guān)人的利益如何被安排所影響。

除非已實(shí)施適當(dāng)?shù)目刂疲尚袝r，簽訂合同規(guī)定外部組織連接或訪問以及合作安排的期限和條件，才可允許外部組織訪問組織信息。一般而言，與外部組織合作導(dǎo)致的安全要求或內(nèi)部控制通過與外部組織的協(xié)議反映出來（見6.2.2和6.2.3）。

應(yīng)確保外部組織意識到他們的責(zé)任，并且接受在訪問、處理、通信或管理組織的信息和信息處理設(shè)施所涉及的職責(zé)和責(zé)任。

其他信息

沒有充分的安全管理，信息可能由于外部組織而處于風(fēng)險中。應(yīng)識別和應(yīng)用控制，以管理外部組織訪問信息處理設(shè)施。例如，如果對信息的保密性有特殊的要求，就需要使用不泄露協(xié)議。

如果使用高級別外包，或涉及幾個外部組織時，組織會面臨與內(nèi)部處理、管理和通信相關(guān)的風(fēng)險。

控制6.2.2和6.2.3涵蓋了對不同外部各方的安排，例如，包括：

a) 服務(wù)提供商（例如互聯(lián)網(wǎng)服務(wù)提供商）、網(wǎng)絡(luò)提供商、電話服務(wù)、維護(hù)和支持服務(wù)；

b) 受管理的安全服務(wù)；

c) 顧客；

d) 設(shè)施和運(yùn)行的外包，例如，IT系統(tǒng)、數(shù)據(jù)收集服務(wù)、中心呼叫業(yè)務(wù)；

e) 管理和業(yè)務(wù)顧問和審核員；

f) 開發(fā)者和提供商，例如軟件產(chǎn)品和IT系統(tǒng)的開發(fā)者和提供商；

g) 清潔、供應(yīng)和其他外包支持服務(wù)；

h) 臨時人員、實(shí)習(xí)學(xué)生安排和其他短期臨時安排。這些協(xié)議能幫助減少與外部組織相關(guān)的風(fēng)險。

6.2.2　當(dāng)與顧客接觸時，強(qiáng)調(diào)安全

控制

應(yīng)在允許顧客訪問組織的信息或資產(chǎn)前強(qiáng)調(diào)所有的安全要求。

實(shí)施指南

想要在允許顧客訪問組織任何資產(chǎn)（依據(jù)訪問的類型和范圍，并不需要應(yīng)用所有的條款）前解決安全問題應(yīng)考慮下列條款：

a) 資產(chǎn)保護(hù)，包括：保護(hù)組織資產(chǎn)（包括信息和軟件）的程序，以及對已知脆弱點(diǎn)的管理；確定資產(chǎn)是否受到損害（例如丟失數(shù)據(jù)或修改數(shù)據(jù)）的程序；完整性；對拷貝和泄露信息的限制；

b) 要提供的產(chǎn)品或服務(wù)的描述；

c) 顧客訪問的不同原因、需求和利益；

d) 訪問控制策略，包括：允許的訪問方法，唯一標(biāo)識的控制和使用，例如用戶ID和口令；顧客訪問和權(quán)限的授權(quán)過程；沒有明確授權(quán)的訪問均被禁止的聲明；撤銷訪問權(quán)力或中斷系統(tǒng)間連接的過程；

e) 信息錯誤（例如個人信息的錯誤）、信息安全事故和安全違規(guī)的報告、修改和調(diào)查的安排；

f) 要提供確保每項(xiàng)服務(wù)可用的描述；

g) 服務(wù)的目標(biāo)級別和服務(wù)的不可接受級別；

h) 監(jiān)視和撤銷與組織資產(chǎn)有關(guān)的任何活動的權(quán)利；

i) 組織和顧客各自的義務(wù)；

j) 關(guān)于法律事件和如何確保滿足法律要求（例如，數(shù)據(jù)保護(hù)法律）的責(zé)任。如果該協(xié)議涉及與其他國家的消費(fèi)者的合作，特別要考慮到不同國家的法律體系（見15.1）；

k) 知識產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓（見15.1.2）以及任何協(xié)作性工作的保護(hù)（見6.1.5）。

其他信息

與顧客訪問組織資產(chǎn)有關(guān)的安全需求，可能隨所訪問的信息處理設(shè)施和信息的不同而發(fā)生變化。這些安全需求能夠通過用戶協(xié)議（包括所有已識別的風(fēng)險和安全需求（見6.2.1）得以解決。

與外部各方的協(xié)議也可能涉及其他機(jī)構(gòu)。允許外部各方訪問的協(xié)議應(yīng)包括允許指派其他有資格的機(jī)構(gòu)訪問，并規(guī)定他們訪問和涉及的條件。

6.2.3　在第三方協(xié)議中強(qiáng)調(diào)安全

控制

與第三方簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。這些協(xié)議可能涉及對組織的信息或信息處理設(shè)施的訪問、處理、溝通或管理，或增加信息處理設(shè)施的產(chǎn)品和服務(wù)。

實(shí)施指南

協(xié)議應(yīng)確保在組織和第三方之間不存在誤解。關(guān)于第三方的保證，組織應(yīng)滿足自己的需要。

為滿足識別的安全需求（見6.2.1），下列條款應(yīng)考慮包含在協(xié)議之內(nèi)：

a) 信息安全策略；

b) 確保資產(chǎn)得到保護(hù)的控制措施，包括：保護(hù)組織資產(chǎn)（包括信息、軟件和硬件）的程序；所有需要的物理保護(hù)控制和機(jī)制；確保防止惡意軟件（見10.4.1）的控制；確定資產(chǎn)是否受到損害（例如信息、軟件和硬件的丟失或修改）的程序；確保在協(xié)議截止時或在合同執(zhí)行期間雙方同意的某一時間段對信息和資產(chǎn)的歸檔或銷毀的控制；保密性、完整性、可用性和任何其他相關(guān)的資產(chǎn)屬性；對拷貝和泄露信息，以及保密性協(xié)議的使用的限制（見6.1.5）；

c) 對用戶和管理者在方法、程序和安全方面的培訓(xùn)；

d) 確保用戶意識到信息安全職責(zé)和問題；

e) 若合適，人員轉(zhuǎn)職的規(guī)定；

f) 關(guān)于硬件和軟件安裝和維護(hù)的職責(zé)；

g) 一種清晰的報告結(jié)構(gòu)和商定的報告格式；

h) 一種清晰規(guī)定的變更管理過程；

i) 訪問控制策略，包括：第三方訪問的必要性的不同原因、需求和利益；允許的訪問方法，唯一標(biāo)識符（諸如用戶ID和口令）的控制和使用；用戶訪問和特權(quán)的認(rèn)證過程；維護(hù)被授權(quán)使用正在提供的服務(wù)的個人清單的需求以及他們與這種使用相關(guān)的權(quán)利和特權(quán)是哪些；沒有明確授權(quán)的所有訪問都要禁止的聲明；撤銷訪問權(quán)力或中斷系統(tǒng)間連接的過程；

j) 報告、通知和調(diào)查信息安全事故和安全違規(guī)以及違背協(xié)議所聲明的要求的安排；

k) 提供的每項(xiàng)產(chǎn)品和服務(wù)的描述，根據(jù)安全分類（見7.2.1）提供可獲得信息的描述；

l) 服務(wù)的目標(biāo)級別和服務(wù)的不可接受級別；

m) 可驗(yàn)證的性能要求的定義、監(jiān)督和報告；

n) 監(jiān)視和撤銷與組織資產(chǎn)有關(guān)的任何活動的權(quán)利；

o) 審核協(xié)議規(guī)定的職責(zé)，授權(quán)第三方進(jìn)行這些審核，以及列舉審核員的法定權(quán)限的權(quán)利；

p) 建立逐級解決問題的過程；

q) 服務(wù)持續(xù)的要求，包括根據(jù)一個組織的業(yè)務(wù)優(yōu)先級對可用性和可靠性的測量；

r) 協(xié)議雙方的相關(guān)義務(wù)；

s) 關(guān)于法律事件和如何確保滿足法律要求（例如，數(shù)據(jù)保護(hù)法律）的責(zé)任。如果該協(xié)議涉及與其他國家的組織的合作，特別要考慮到不同國家的法律體系（見15.1）；

t) 知識產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓（見15.1.2）以及任何協(xié)作性工作的保護(hù)（見6.1.5）；

u) 包括具有轉(zhuǎn)包商的第三方，這些轉(zhuǎn)包商需要實(shí)施的安全控制；

v) 協(xié)議中重新協(xié)商/終止的條件：應(yīng)提供意外處理計劃以處理任一方機(jī)構(gòu)在協(xié)議到期之前終止合作關(guān)系的情況；如果組織的安全需求發(fā)生變化，協(xié)議的重新協(xié)商；資產(chǎn)列表、許可證、協(xié)議或與他們相關(guān)的權(quán)利的目前的文件。

其他信息

協(xié)議會隨組織和第三方機(jī)構(gòu)類型的不同發(fā)生很大的變化。因此，應(yīng)注意要在協(xié)議中包括所有識別的風(fēng)險和安全需求（見6.2.1）。需要時，在安全管理計劃中擴(kuò)展所需的控制和程序。

如果外包信息安全管理，協(xié)議應(yīng)指出第三方將如何保證維持風(fēng)險評估中定義的適當(dāng)?shù)陌踩?，安全如何適于識別和處理風(fēng)險的變化。

外包和其他形式的第三方服務(wù)提供之間的區(qū)別包括責(zé)任問題、策劃過渡期和在此期間的潛在的運(yùn)行破壞、緊急處理計劃的安排和預(yù)期的詳細(xì)的評審、安全事故信息的收集和管理。因此，組織計劃和管理到外包安排的過渡期，提供適當(dāng)?shù)倪^程管理變化和協(xié)議的重新協(xié)商/終止是十分重要的。

需要考慮當(dāng)?shù)谌讲荒芴峁┧姆?wù)時的持續(xù)處理程序，以避免在安排替代服務(wù)時的任何延遲。

與第三方的協(xié)議也可能涉及其他方。允許第三方訪問的協(xié)議應(yīng)包括允許指派其他有資格方的訪問，并規(guī)定他們訪問和涉及的條件。

一般而言，協(xié)議主要由組織制定。在一些環(huán)境下，也可能有例外，協(xié)議由第三方制定并強(qiáng)加于一個組織。組織需要確保它本身的安全不會沒有必要的被第三方在強(qiáng)制協(xié)議中規(guī)定的要求所影響。