Los responsables de las Unidades Orgánicas de la institución que requieren la contratación de bienes y servicios relacionados con el acceso, procesamiento, almacenamiento, comunicación y otro tipo de tratamiento de información deben:

• Asegurar la incorporación de requerimientos de seguridad (organizativos, jurídicos y técnicos) en los términos de referencia con asesoría de la Unidad de Tecnología o del Coordinador ISO. Tales requerimientos deben estar principalmente asociados a la transferencia o acceso a la información, la resolución de incidentes, las medidas de contingencia o los controles de cambios; así como el derecho para efectuar auditorías al servicio brindado.
• Asegurar que el proveedor (directo o subcontratado) que tratará la información confidencial firme un acuerdo de confidencialidad y de no divulgación
• Asegurar que el proveedor (directo o subcontratado) no manipule cualquier tipo de documento no relacionado al motivo del servicio contratado, así como la copia de esta información.

Los responsables de las Unidades Orgánicas de la institución deben asegurar el cumplimiento de los requerimientos de seguridad de la información incorporados en los términos de referencia o contratos celebrados con los proveedores.