保存問責(zé)制和記錄。
ISO27001第8條規(guī)定的目標(biāo)是制定和維護(hù)組織資產(chǎn)的適當(dāng)保障措施。具體來說，第8.1條要求組織識(shí)別和明確標(biāo)記重要數(shù)據(jù)資產(chǎn)。該清單協(xié)議包括對(duì)所有權(quán)的明確定義和數(shù)據(jù)可接受用途的要求。條款8.2繼續(xù)要求基于這些敏感度水平的數(shù)據(jù)敏感度分類、標(biāo)簽和訪問控制。第九條還包括創(chuàng)建和維護(hù)訪問控制策略的相關(guān)指南。

供應(yīng)商管理
ISO27001將供應(yīng)商的監(jiān)控作為適當(dāng)數(shù)據(jù)安全協(xié)議的關(guān)鍵組成部分。第八條要求組織確定外包了哪些處理操作，并確保這些過程是安全程序的控制部分。

ISO27001信息安全管理系統(tǒng)第9條是第8條的基礎(chǔ)，要求組織審查、記錄和維護(hù)對(duì)安全計(jì)劃的監(jiān)督，可能包括計(jì)劃的風(fēng)險(xiǎn)評(píng)估和審查，以確認(rèn)客戶數(shù)據(jù)是安全的。

ISO27001信息安全管理系統(tǒng)可以在控制供應(yīng)商關(guān)系和控制符合合同要求的A.18.1中找到其他更具體的指導(dǎo)。附錄A.15解決了供應(yīng)商(供應(yīng)商)訪問個(gè)人數(shù)據(jù)的安全問題。它要求通過限制數(shù)據(jù)訪問和訂立協(xié)議來減少風(fēng)險(xiǎn)。

附錄A.18設(shè)想遵守協(xié)議，其中另一只鞋在腳上，組織充當(dāng)供應(yīng)商，要求遵守客戶的安全要求。

事件和違規(guī)
ISO27001要求機(jī)制不僅可以快速識(shí)別安全事件，還可以通過必要的既定渠道進(jìn)行報(bào)告。本附錄(A.16)旨在確保信息安全事件的管理，包括安全事件和弱點(diǎn)的通信。

符合ISO27001響應(yīng)計(jì)劃的基本要素是明確的命令鏈、確定的標(biāo)志和報(bào)告程序以及員工和承包商對(duì)任何異?；顒?dòng)或事件的報(bào)告。和所有ISO27001要求一樣，文檔和持續(xù)更新是關(guān)鍵。