Cilj: Implementirati i održavati prikladnu razinu informacijske sigurnosti i pružanja usluga u skladu s ugovorima potpisanim s trećom stranom. Organizacija treba provjeriti implementaciju sporazuma, nadzirati usklađivanje sa sporazumom i upravljati promjenama kako bi se osiguralo da pružene usluge odgovaraju zahtjevima sporazuma s trećom stranom.
Kontrola
Potrebno je osigurati da sigurnosne kontrole, definicije usluga i razina pruženih usluga budu implementirane i održavane u skladu s ugovorom s trećom stranom.
Implementacijske smjernice
Pružene usluge trebaju uključivati dogovorene sigurnosne aranžmane i definicije usluga. U slučaju kršenja dogovora, organizacija treba obaviti nužne tranzicije (informacija i sredstava) i osigurati sigurnost u tranzicijskom periodu.
Kontrola
Usluge koje pruža treća strana se trebaju redovito nadzirati i pregledavati, a ispitivanje se također treba redovito izvoditi.
Implementacijske smjernice
Nadzor i pregledavanje usluga treće strane osigurava da se poštuju sigurnosni uvjeti sporazuma i da se sigurnosni problemi i incidenti rješavaju prikladno. Organizacija i treća strana surađuju na:
a) nadzoru performansi usluga, kako bi se provjerilo da li se pridržava sporazuma;
b) pregledavaju se izvještaji treće strane i dogovaraju se sastanci, ovisno o napretku;
c) treća strana pruža informacije o sigurnosnim incidentima; organizacija pregledava izvještaje i daje potrebne smjernice;
d) organizacija pregledava rezultate ispitivanja i zapise o sigurnosnim propustima, operativnim problemima i kvarovima vezanim uz pružene usluge;
e) upravlja se rješavanjem svakog identificiranog problema.
Odgovornost upravljanja odnosima s trećom stranom se dodjeljuje pojedincu ili timu za upravljanje uslugama. S druge strane, treća strana dodjeljuje odgovornost za provjeravanje provedbe zahtjeva sporazuma.
Kontrola
Upravlja se promjenama u pružanju usluga, uključujući poboljšanje postojeće sigurnosne politike, procedura i kontrola, uzimajući u obzir kritičnost uključenih poslovnih sustava i procesa, te ponovnu procjenu rizika.
Implementacijske smjernice
Proces upravljanja promjenama u uslugama koje pruža treća strana uključuje:
a) promjene koje obavlja organizacija:
1) poboljšanja u trenutno ponuđenim uslugama;
2) razvoj novih aplikacija i sustava;
3) modificiranje i nadograđivanje sigurnosne politike i procedura;
4) uvode se nove kontrole kako bi se rješili sigurnosni problemi i poboljšala sigurnost;
b) promjene koje obavlja treća strana:
1) promjene i poboljšanja u mrežama;
2) uporaba novih tehnologija;
3) usvajanje novih proizvoda ili novijih verzija/izdanja proizvoda;
4) novi razvojni alati i okruženja;
5) promjena lokacije fizičkih sredstava povezanih uz pružene usluge;
6) promjena isporučitelja.