12.8.3 está escrito de manera muy ambigua, pero a lo que se reduce es que necesita examinar a su potencial proveedor de servicios. Debe tener documentación de procedimiento que muestre los procesos detrás de la verificación de un proveedor de servicios. Esa parte es bastante simple.
En cuanto a lo que debe hacer para evaluar a su potencial proveedor de servicios, es una decisión difícil. (y depende de usted determinar la mayor parte) Se deberá hacer un análisis de riesgo. Mira en la reputación de la empresa y su historia pasada. Haga preguntas difíciles relacionadas con lo que potencialmente está trabajando con el proveedor.