的相关方的需求和期望有一个高 层次（如战略性）的理解。 审核员宜核实该组织是否已识别出相关方的需求，包括自愿采纳或签订的协议、合同，或 因纳入法律、法规、许可、政府授权或法庭诉讼中所导致的强制性需求和期望。值得注意 的是，并非所有相关方要求都是组织的要求，有些要求不适用于组织或与 ISMS 不相关。 一些相关方的需求（例如黑客的需求）与 ISMS 的目的相反，组织宜通过适当的信息安全 控制来确保这些需求和期望不会被满足。