Auf der Basis einer Unternehmensbefragung wurde untersucht, wie Unternehmen ihre Lieferanten und Dienstleister in Hinblick auf Informationssicherheit steuern. Hier scheint vielfach noch Orientierungslosigkeit zu herrschen. Meist sind Vereinbarungen getrieben durch den Datenschutz, selten aber in der Praxis überwacht. Auch Zertifizierungen scheinen nicht das Allheilmittel zu sein. Im Buch wird dargestellt und untersucht, ob und wie die ISO/IEC 27000-Reihe Hilfestellungen in der Praxis bieten kann. Besonders erfolgsversprechend scheint die Anwendung einer "Anforderungs-SoA" (SoA - Statement of Applicability) zu sein, die als Vertragsanlage genutzt werden kann.