De organisatie moet alle externe services en de verbindingen die ermee gemaakt zijn in kaart brengen, documenteren, autoriseren en bij wijzigingen updaten.
Richtlijn
Uitbesteding van systemen, softwareplatforms en toepassingen die binnen de organisatie worden gebruikt, wordt behandeld in ID.AM-1 & ID.AM-2
Externe informatiesystemen zijn systemen of onderdelen van systemen waarvoor organisaties doorgaans geen rechtstreeks toezicht en autoriteit hebben over de toepassing van informatiebeveiligingseisen en -maatregelen, of de bepaling van de effectiviteit van geïmplementeerde maatregelen op die systemen, d.w.z., diensten die worden uitgevoerd in de cloud, SaaS, hosting of andere externe omgevingen, API (Application Programming Interface), ...
Door externe diensten en de verbindingen ermee in kaart te brengen en vooraf te autoriseren, wordt voorkomen dat er onnodig middelen worden verspild aan het onderzoeken van een vermeende niet-geauthenticeerde verbinding met externe systemen.