9.1 Làm việc bên ngoài các bên được chỉ định chính
9.1.1 Tổ chức phải đưa ra các thỏa thuận chia sẻ thông tin hoặc tương đương khi làm việc bên ngoài các bên thực hiện chính (ví dụ trong quá trình đấu thầu) nếu quyền truy cập được cấp cho thông tin nhạy cảm.
LƯU Ý Thông tin thêm về các thỏa thuận chia sẻ thông tin có trong Phụ lục D.

9.1.2 Thỏa thuận chia sẻ thông tin hoặc tương đương phải bao gồm các yêu cầu của tổ chức về việc lưu giữ, xử lý và hủy thông tin nhạy cảm

9.1.3 Khi quá trình đấu thầu chỉ định yêu cầu tiết lộ thông tin nhạy cảm, các tổ chức sẽ triển khai các biện pháp bảo vệ phù hợp và tương xứng và/hoặc các quy trình riêng biệt, đồng thời đảm bảo có đủ thông tin.

9.1.4 Các tổ chức sẽ, như một phần của quá trình lựa chọn bên được chỉ định, đánh giá tất cả tài liệu đấu thầu để thiết lập cách thức đáp ứng các yêu cầu về bảo mật được nêu trong kế hoạch quản lý bảo mật.

9.1.5 Các tổ chức sẽ đánh giá hiểu biết, năng lực, năng lực và kinh nghiệm về bảo mật của các tổ chức cho một cuộc họp, cũng như bất kỳ yêu cầu đào tạo, huấn luyện và hỗ trợ bảo mật nào.

9.2 Các biện pháp có trong tài liệu chỉ định
9.2.1 Tổ chức phải quản lý rủi ro bảo mật của nhóm cung cấp bằng cách đưa ra các điều khoản trong tài liệu chỉ định hỗ trợ tất cả các chính sách và quy trình bảo mật có liên quan có trong kế hoạch quản lý bảo mật, bao gồm các yêu cầu đặt ra cho thành viên của nhóm cung cấp khi kết thúc cuộc hẹn.

9.2.2 Tổ chức phải nêu chi tiết việc phân bổ chức năng bảo mật thông tin cho nhóm cung cấp, bao gồm yêu cầu về bảo mật phải được duy trì ở các cấp có trách nhiệm trong nhóm cung cấp, với trách nhiệm được phân bổ phù hợp, để có thể quản lý hiệu quả và hiệu suất.

9.2.3 Khi thích hợp, các điều khoản sẽ bao gồm việc áp dụng các yêu cầu tương tự có trong tài liệu chỉ định đối với các bên được chỉ định, những người được chỉ định trực tiếp cho tổ chức, thông qua các lớp chỉ định phụ.

9.2.4 Khi cần tuân thủ các tiêu chuẩn bảo mật cụ thể (ví dụ: cung cấp các biện pháp bảo mật vật lý hoặc mạng cụ thể theo một tiêu chuẩn đã xác định), các biện pháp này phải được xác định rõ ràng trong tài liệu chỉ định, cùng với bất kỳ cuộc kiểm tra hoặc xác minh độc lập, dự kiến ​​của bên thứ ba nào.

9.2.5 Để xử lý các vi phạm/sự cố bảo mật do cố vấn chuyên nghiệp, nhà thầu hoặc bên được chỉ định gây ra, phải có các điều khoản rõ ràng trong tài liệu chỉ định về việc báo cáo vi phạm/sự cố bảo mật cho tổ chức và cung cấp hỗ trợ trong quá trình điều tra và các hành động theo dõi.

9.2.6 Các biện pháp được đưa vào tài liệu chỉ định phải bao gồm các điều khoản cho phép tổ chức xem xét các biện pháp bảo mật và việc tuân thủ các chính sách và quy trình bảo mật có liên quan ở bất kỳ cấp độ nào trong nhóm cung cấp có liên quan.

9.2.7 Tổ chức phải chèn một điều khoản vào tài liệu chỉ định để cho phép điều chỉnh để ứng phó với những thay đổi trong môi trường chính trị, pháp luật hoặc quy định được thực hiện.

9.2.8 Tổ chức(các tổ chức) phải yêu cầu, sau khi chấm dứt một cuộc hẹn, rằng tất cả thông tin có liên quan, bao gồm thông tin mà bên được chỉ định đã chia sẻ với các thành viên khác trong nhóm cung cấp của mình, phải được cung cấp, lưu trữ an toàn, xử lý hoặc hủy theo đúng yêu cầu của tổ chức và liên quan đến cuộc hẹn.

9.2.9 Khi thích hợp, tổ chức(các tổ chức) phải yêu cầu bên được chỉ định xác minh rằng các quy trình xác định để cung cấp, xử lý hoặc hủy thông tin nhạy cảm đã được hoàn tất và xác minh các biện pháp bảo mật đang diễn ra đối với thông tin nhạy cảm sẽ được lưu giữ.

9.2.10 Tổ chức phải yêu cầu các quy trình ngừng hoạt động và giải thể đủ để được thực hiện nhằm duy trì tính bảo mật của thông tin tài sản.

9.3 Hỗ trợ sau khi chỉ định
9.3.1 Tổ chức phải giám sát và thực thi tất cả các điều khoản liên quan đến bảo mật trong tài liệu chỉ định liên quan đến các bên được chỉ định để họ áp dụng phương pháp tiếp cận có tính bảo mật có thể chấp nhận được để thực hiện các nghĩa vụ liên quan đến việc chỉ định của mình.

9.3.2 Tổ chức phải làm việc với nhóm cung cấp của mình để hỗ trợ hiểu các yêu cầu bảo mật và giải quyết mọi vấn đề bảo mật còn tồn đọng.

9.4 Kết thúc việc chỉ định
Tổ chức phải thực hiện các biện pháp thích hợp và tương xứng để kiểm tra việc tuân thủ của bất kỳ nhóm cung cấp nào với bất kỳ yêu cầu nào về việc cung cấp, lưu trữ an toàn, xử lý hoặc hủy bỏ thông tin nhạy cảm.