保存問責制和記錄。
ISO27001第8條規(guī)定的目標是制定和維護組織資產的適當保障措施。具體來說，第8.1條要求組織識別和明確標記重要數(shù)據資產。該清單協(xié)議包括對所有權的明確定義和數(shù)據可接受用途的要求。條款8.2繼續(xù)要求基于這些敏感度水平的數(shù)據敏感度分類、標簽和訪問控制。第九條還包括創(chuàng)建和維護訪問控制策略的相關指南。

供應商管理
ISO27001將供應商的監(jiān)控作為適當數(shù)據安全協(xié)議的關鍵組成部分。第八條要求組織確定外包了哪些處理操作，并確保這些過程是安全程序的控制部分。

ISO27001信息安全管理系統(tǒng)第9條是第8條的基礎，要求組織審查、記錄和維護對安全計劃的監(jiān)督，可能包括計劃的風險評估和審查，以確認客戶數(shù)據是安全的。

ISO27001信息安全管理系統(tǒng)可以在控制供應商關系和控制符合合同要求的A.18.1中找到其他更具體的指導。附錄A.15解決了供應商(供應商)訪問個人數(shù)據的安全問題。它要求通過限制數(shù)據訪問和訂立協(xié)議來減少風險。

附錄A.18設想遵守協(xié)議，其中另一只鞋在腳上，組織充當供應商，要求遵守客戶的安全要求。

事件和違規(guī)
ISO27001要求機制不僅可以快速識別安全事件，還可以通過必要的既定渠道進行報告。本附錄(A.16)旨在確保信息安全事件的管理，包括安全事件和弱點的通信。

符合ISO27001響應計劃的基本要素是明確的命令鏈、確定的標志和報告程序以及員工和承包商對任何異常活動或事件的報告。和所有ISO27001要求一樣，文檔和持續(xù)更新是關鍵。