NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

外部系统服务由外部供应商提供，组织无法直接控制所需控制措施的实施或控制有效性的评估。组织通过多种方式与外部服务提供商建立关系，包括通过商业合作伙伴关系、合同、机构间协议、业务安排、许可协议、合资企业和供应链交换。使用外部系统服务所产生的风险管理责任仍由授权官员负责。对于组织外部的服务，信任链要求组织建立并保持一定程度的信心，以确保消费者-提供者关系中的每个提供者对所提供的服务提供足够的保护。信任链的范围和性质因组织与外部提供者之间的关系而异。组织记录信任关系的基础，以便可以对这些关系进行监控。外部系统服务文档包括政府、服务提供商、最终用户的安全角色和职责，以及服务级别协议。服务水平协议定义了已实施控制的性能预期，描述了可衡量的结果，并确定了针对已识别的不合规情况的补救措施和响应要求。