RP 2 Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores y gestionar sus cambios.

Objetivo	Establecer y asegurar el cumplimiento de los términos y condiciones de seguridad de la información de los contratos y acuerdos de nivel de servicio con los proveedores. Garantizar que los incidentes y problemas de seguridad de la información se manejan de forma adecuada. Asegurar que se gestiona adecuadamente la seguridad de la información frente a cambios en los servicios de los proveedores.
Alcance	Cualquier organización
Referencia ISO 27001	A.15.2.1, A.15.2.2
Guía de implementación	Se debe establecer un procedimiento de supervisión de los niveles de desempeño del servicio, en concordancia con los SLAs y los contratos. Debe evaluarse la posibilidad de realizar auditorías de los proveedores y, en función de sus resultados, reevaluar riesgos frente a cambios en los servicios de los proveedores.
Administración Central	-
Instituciones de salud	Cuando se adquieran dispositivos médicos, validar que incorporen los últimos controles de seguridad ciberseguridad. Además, se deben establecer los roles y responsabilidades relacionados con las actualizaciones, parches, administración de contraseñas, acceso remoto, etc., para garantizar la ciberseguridad de los productos o servicios.
Guía de evidencia para auditoría	Política de relación con proveedores. Lista de proveedores de servicios críticos. Acuerdos de Nivel de Servicio (SLA). Contrato con los proveedores. Registro de revisiones regulares de los SLA y contratos con proveedores de servicios.
Normativa asociada	N/A

Guía de implementación