組織應(yīng)定期監(jiān)控、審查、審計(jì)供應(yīng)商服務(wù)，確保協(xié)議中的信息安全條款和條件被遵守，監(jiān)測發(fā)現(xiàn)的信息安全事件和問題得到妥善管理。應(yīng)將管理供應(yīng)商關(guān)系的責(zé)任分配給指定的個(gè)人或項(xiàng)目管理團(tuán)隊(duì)。另外，組織應(yīng)確保落實(shí)供應(yīng)商符合性審查和相關(guān)協(xié)議要求強(qiáng)制執(zhí)行的責(zé)任。應(yīng)保持足夠的技術(shù)技能和資源的可用性以監(jiān)視協(xié)議要求尤其是信息安全要求的實(shí)現(xiàn)。當(dāng)發(fā)現(xiàn)服務(wù)交付的不足時(shí)，宜采取合適的措施。

當(dāng)供應(yīng)商提供的服務(wù)，包括對信息安全方針、規(guī)程和控制措施的維持和改進(jìn)等發(fā)生變更時(shí)，應(yīng)在考慮到其對業(yè)務(wù)信息、系統(tǒng)、過程的重要性和重新評估風(fēng)險(xiǎn)的基礎(chǔ)上修改監(jiān)控、審查和審計(jì)的方法、范圍、頻率等。