Het is verplicht om leveranciers te beoordelen voor de norm. Dit kan op meerdere manieren. Het zou kunnen dat het boekhoudprogramma hier de basis voor is. Als er gelabeld kan worden in het boekhoudprogramma (of binnen een ERP systeem) en daar ook beoordelingen aan toegevoegd kunnen worden dan is dat ook mogelijk. 

In de praktijk komen wij dat eigenlijk niet tegen. De reden hiervoor is dat wij zien dat de relevante leveranciers voor informatiebeveiliging vaak een redelijk beperkte en statische groep is. Leveranciers in een boekhoudprogramma veranderen vaker en zijn grotendeels irrelevant (denk aan aanschaf van kantoorbenodigheden, broodjes, etc.). Het zou dan wel nodig zijn om hier steeds doorheen te gaan om te zorgen dat dit nog voldoet. Ook is het dan van belang dat je (eenvoudig) kunt checken of alle beoordelingen zijn uitgevoerd. 

Als laatste is een aandachtspunt dat er ook leveranciers kunnen zijn die wel relevant zijn, maar niet terugkomen in de boekhouding (bijv. aanbieders van freeware). Deze zou je dan ook moeten opvoeren in het boekhoudprogramma (of ERP-pakket). 

Het kan dus wel om het in het boekhoudprogramma te doen, maar mijn ervaring is dat dit meer tijd en onderhoud vraagt dan het invullen van de bijgesloten lijst.