354這還包括通過(guò)公網(wǎng)提供服務(wù)的信息系統(tǒng)的安全要求(This also includes the requirements for information systems which provide services over public networks)，這一句是ISO/IEC 27001: 2013新加的，在ISO/IEC 27002: 2013里面的內(nèi)容里也確實(shí)體現(xiàn)出來(lái)了。

356這一節(jié)的內(nèi)容挺全面的，

357新加內(nèi)容，還包括了供應(yīng)鏈，很洋氣。由于為新加內(nèi)容，因此本章所對(duì)應(yīng)的ISO/IEC 27002: 2005的內(nèi)容，我們盡量給出中文版。

359該控制措施對(duì)應(yīng)的指南為

Control All relevant information security requirements should be established and agreed with each supplier that may access, process, store, communi cate, or provide IT infrastructure components for, the organization s information.

Implementation guidance 宜建立供應(yīng)商協(xié)議并形成文件以確保在組織和供應(yīng)商之間就雙方要完成的與信息安全要求相關(guān)的義務(wù)沒(méi)有誤解。 為了滿(mǎn)足已經(jīng)識(shí)別的安全要求，下面這些條款需要考慮在協(xié)議中：