保存問責制和記錄。
ISO27001第8條規定的目標是制定和維護組織資產的適當保障措施。具體來說，第8.1條要求組織識別和明確標記重要數據資產。該清單協議包括對所有權的明確定義和數據可接受用途的要求。條款8.2繼續要求基于這些敏感度水平的數據敏感度分類、標簽和訪問控制。第九條還包括創建和維護訪問控制策略的相關指南。

供應商管理
ISO27001將供應商的監控作為適當數據安全協議的關鍵組成部分。第八條要求組織確定外包了哪些處理操作，并確保這些過程是安全程序的控制部分。

ISO27001信息安全管理系統第9條是第8條的基礎，要求組織審查、記錄和維護對安全計劃的監督，可能包括計劃的風險評估和審查，以確認客戶數據是安全的。

ISO27001信息安全管理系統可以在控制供應商關系和控制符合合同要求的A.18.1中找到其他更具體的指導。附錄A.15解決了供應商(供應商)訪問個人數據的安全問題。它要求通過限制數據訪問和訂立協議來減少風險。

附錄A.18設想遵守協議，其中另一只鞋在腳上，組織充當供應商，要求遵守客戶的安全要求。

事件和違規
ISO27001要求機制不僅可以快速識別安全事件，還可以通過必要的既定渠道進行報告。本附錄(A.16)旨在確保信息安全事件的管理，包括安全事件和弱點的通信。

符合ISO27001響應計劃的基本要素是明確的命令鏈、確定的標志和報告程序以及員工和承包商對任何異?；顒踊蚴录膱蟾?。和所有ISO27001要求一樣，文檔和持續更新是關鍵。