4.2 Zrozumienie potrzeb i oczekiwań zainteresowanych stron

Organizacja powinna określić:

a) zainteresowane strony istotne dla systemu zarządzania bezpieczeństwem informacji;

b) odpowiednie wymagania tych zainteresowanych stron;

c) które z tych wymagań będą spełniane w ramach systemu zarządzania bezpieczeństwem informacji.