Организация должна определить:
a) заинтересованные стороны, имеющие отношение к системе менеджмента информационной безопасности;
b) требования этих заинтересованных сторон к информационной безопасности.
Примечание - Требования заинтересованных сторон могут включать правовые и нормативные требования и договорные обязательства.