包括法律、监管规定和合同义务。
3
f信息安全管理体系手册
43确定ISMS的范围
本公司应确定信息安全管理体系的边界和适用性，以确定其范围。在确定此范围时，本公司应考虑：a41提及的外部和内部的问题b42提及的要求c）接口和执行本公司之间活动的依赖关系，以及其他本公司的相关活动。范围应可成为文档化信息。
44ISMS
本公司应按照本国际标准的要求建立，实施，保持和持续改进信息安全管理体系。
5领导力
51领导力和承诺
最高管理者应表现出对信息安全管理体系的领导力和承诺：a确保信息安全策略和信息安全目标的制定，并与本公司的战略方向兼容b确保信息安全管理体系的要求整合到本公司的过程中c）确保信息安全管理体系所需要的资源d）传达有效的信息安全管理的重要性，并符合信息安全管理体系的要求e）确保信息安全管理体系达到其预期的效果f）指导和支持员工对信息安全管理体系作出有效的贡献g）促进持续改进h）支持其他相关管理角色来展示自己的领导力，因为它适用于他们的职责范围。
52方针
最高管理者应建立一个信息安全方针：a与本公司的宗旨相适应
4
f信息安全管理体系手册
b包括信息安全目标（见62），或为信息安全目标提供框架c）包括满足与信息安全相关要求的承诺d）包括信息安全管理体系持续改进的承诺。信息安全的方针应：e）可成为文档化信息f）在本公司内沟通g）视情况提供给相关方。53角色、责任和承诺最高管理者应确保与信息安全相关角色的职责和权限的分配和沟通。最高管理者应指定责任和权限：a确保信息安全管理体系符合本国际标准的要求b将ISMS的绩效报告给最高管理者。注：最高管理层可以授权他人负责ISMS的绩效报告。
6计划
61处理风险和机遇的行动
611总则
当规划本公司的信息安全管理体系时，应当考虑41提到的问题和42中所提到的要求，并确定需要解决的风险和机遇：a确保信息安全管理体系可实现预期的结果b防止或减少不良影响c）实现持续改进。本公司应策划：d）解决这些风险和机遇的措施；e）如何1）整合和实施这些措施，并纳入其信息安全管理体系过程中2）评估这些措施的有效性。
5
f信息安全管理体系手册
612信息安全风险评估
本公司应确定信息安全风险评估过程r