保存問(wèn)責制和記錄。
ISO27001第8條規定的目標是制定和維護組織資產(chǎn)的適當保障措施。具體來(lái)說(shuō)，第8.1條要求組織識別和明確標記重要數據資產(chǎn)。該清單協(xié)議包括對所有權的明確定義和數據可接受用途的要求。條款8.2繼續要求基于這些敏感度水平的數據敏感度分類(lèi)、標簽和訪(fǎng)問(wèn)控制。第九條還包括創(chuàng )建和維護訪(fǎng)問(wèn)控制策略的相關(guān)指南。

供應商管理
ISO27001將供應商的監控作為適當數據安全協(xié)議的關(guān)鍵組成部分。第八條要求組織確定外包了哪些處理操作，并確保這些過(guò)程是安全程序的控制部分。

ISO27001信息安全管理系統第9條是第8條的基礎，要求組織審查、記錄和維護對安全計劃的監督，可能包括計劃的風(fēng)險評估和審查，以確認客戶(hù)數據是安全的。

ISO27001信息安全管理系統可以在控制供應商關(guān)系和控制符合合同要求的A.18.1中找到其他更具體的指導。附錄A.15解決了供應商(供應商)訪(fǎng)問(wèn)個(gè)人數據的安全問(wèn)題。它要求通過(guò)限制數據訪(fǎng)問(wèn)和訂立協(xié)議來(lái)減少風(fēng)險。

附錄A.18設想遵守協(xié)議，其中另一只鞋在腳上，組織充當供應商，要求遵守客戶(hù)的安全要求。

事件和違規
ISO27001要求機制不僅可以快速識別安全事件，還可以通過(guò)必要的既定渠道進(jìn)行報告。本附錄(A.16)旨在確保信息安全事件的管理，包括安全事件和弱點(diǎn)的通信。

符合ISO27001響應計劃的基本要素是明確的命令鏈、確定的標志和報告程序以及員工和承包商對任何異?；顒?dòng)或事件的報告。和所有ISO27001要求一樣，文檔和持續更新是關(guān)鍵。