Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.
Organisaation on tunnistettava kriittiset IT-kumppanit. Kriittisellä kumppanilla (sisäinen tai ulkoinen) tarkoitetaan kumppania, jota ilman toiminta keskeytyy.