五、 了解利害關係者的需求和期望
組織必須確定與資訊安全管理系統相關的利害關係者及其要求，有關利害關係者的要求可能包括法律、監管要求以及合約義務，必須識別對組織的ISMS感興趣的所有人，並且確定他們的要求，包括需求和期望。可以從找到對資訊安全感興趣的關係者開始，即可以影響資訊安全/業務連續性的個人或組織，或者可能受您的資訊安全或業務連續性活動影響的個人或組織。
相關的利害關係者可以包括：
• 員工
• 股東/業主
• 政府機構/監管機構
• 緊急服務（例如：消防員、警察、救護車等）
• 客戶
• 員工家屬
• 媒體
• 供應商和合作夥伴
• ......以及您認為對您的營運很重要的任何其他人。
如何識別這些利害關係者？可以詢問高階管理人員以及部門負責人，了解誰對他們的業務很重要，然後評估他們是否對組織的資訊安全或業務連續性感興趣，另外從組織現有文件（例如：營運計劃）中可能也會有可參考的資訊。
確定利害關係者後，接下來組織必須考慮他們的需求和期望，應特別集中在與資訊安全相關的需求和期望。條文中並沒有將這些列入文件化的需求，但建議還是要有紀錄，可以運用在其他的條文要求中，例如第八章風險處理、第九章管理審查等。在前一版的ISO 27001:2005中，利害關係者的需求僅限於反饋和溝通；2013年版的ISO 27001高階管理架構中這些是ISMS的核心，法律、監管要求以及合約義務包含在利害關係者的要求中，必須確定所有感興趣的人都希望組織遵從及滿足他們的要求，例如：股東希望投資的安全性和良好的回報；客戶希望您遵守與他們簽訂之合約中的資訊安全條款；主管機關希望您遵守資訊安全法令規章；媒體要快速準確報導與您的資安事件有關的新聞等。
組織必須明確說明哪些法律法規、合約中存在哪些與自身相關的資訊安全條款，而蒐集這些資訊的最佳方式是研究他們的書面要求（法律、合約等）。獲得所有這些資訊後，需要安排及分配資訊安全性或業務連續性，以符合利害關係者期望，這就是說必須在開始導入建置ISMS的詳細資訊之前確定相關要求。
建議律定一個程序，明確訂定所有利害關係者及其法律、監管、合約和其他要求的責任與做法，定義誰負責更新此資訊以及執行此類分析的頻率。如果組織規模很大，通常設有合規部門或合規人員可負責此類分析，法律部門是第二人選，最後才是負責資訊安全或業務持續性的人員。確定了這些要求後，應明確區分落實相關要求的責任以確保符合這些利害關係者的要求，例如：IT部門將負責遵守技術要求，人力資源部門負責保密聲明，資訊安全人員負責更新政策和程序等。
了解有關各方利害關係者的需要和期望的範例如下：

(一) 客戶
他們的要求如下：

1. 根據合約內資訊安全要求提供產品、服務和維護支援。
2. 在發生任何資安事件而導致營運中斷時仍然能夠提供產品、服務和維護支援。
3. 根據適用的法律資訊安全要求提供產品、服務和維護支援。
4. 根據任何其他適用的行業、第三方或最終用戶要求（例如NCC、經濟部等）提供產品、服務和維護支援。
5. ISO 27001合規性
6. 99.9％的系統可用性
7. 回應SLA（4小時回應 - 聯絡中心）
8. PCI DSS要求

(二) 使用者
我們的產品和服務與各類型使用者互動，他們的要求如下：

1. 使用系統可在使用者需要時提供。
2. 產品和服務可靠、簡單（使用）。
3. 使用上能夠簡單方便上手，容易找到準確、完整和最新的使用者詳細資訊。
4. 產品和服務能夠充分保護個人資料（聯繫方式）和敏感的個人資料（特種個資）。
5. 如果發生中斷，可以繼續營運直接提供的產品和服務，並繼續為客戶提供的產品和服務提供支援（使用系統）。

(三) 合作夥伴
合作夥伴可能是代理商或系統合作夥伴、人力公司或其他人。如果我們有違規行為，他們的聲譽可能會受到損害，反之亦然。我們與一些主要合作夥伴的合約可能有或需要資訊安全條款，他們的要求如下：

1. 我們提供他們所需的任何正確和完整的技術資訊，使他們能夠修改，使功能增強或修正錯誤，以使我們能夠開發與之通信和交換資料的軟體。
2. 我們根據任何雙方同意的時程開發軟體。
3. 我們的合作關係不會因我們任何員工的離職或缺勤而受到不利影響。
4. 我們遵守任何保密及資訊不揭露協議。
5. 我們提供必要的培訓，使經銷商能夠銷售我們的產品和服務。
6. 遵守合約協議。

(四) 供應商和承包商
供應商是上游廠商，我們使用供應商所提供的服務，如果我們發生資訊安全事故，也可能導致供應商聲譽受損，最後導致雙方不信任，進而影響供應品質，他們的要求如下：

1. 期待我們購買他們的產品和/或服務。
2. 如果適用的話，我們在需要技術支援時提供完整和正確的資訊。
3. 如果適用的話，我們使用他們的技術進行維護及支援。
4. 遵守合約協議。
5. 遵守付款條款。