มาตรฐาน ISO27001:2022 มีข้อกำหนดทั้งหมด 10 ข้อ สำหรับบล็อกนี้จะเป็นเรื่องของข้อกำหนดที่ 4 ซึ่งเกี่ยวข้องกับบริบทขององค์กร โดยจะแบ่งออกเป็น 4 หัวข้อย่อย 4.1-4.4 สำหรับมาตรฐานไปหาอ่านเอง หรือดูจากรูป แต่จะสรุปความต้องการในแต่ละข้อประมาณนี้
4.1 การทำความเข้าใจองค์กร และบริบทขององค์กร ในข้อนี้ได้กำหนดให้องค์กรต้องศึกษาประเด็นภายใน และประเด็นภายนอกที่เกี่ยวข้อง/ส่งผลต่อการบรรลุวัตถุประสงค์ หรือส่งผลต่อความสามารถในการดำเนินการ/การบรรลุผลลัพธ์ของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ
การดำเนินการให้เป็นไปตามข้อกำหนดข้อนี้ที่นิยมกันก็จะใช้เครื่องมือ SWOT Analysis และ PESTEL แต่ในมาตรฐานไม่ได้กำหนดว่าจะต้องเป็นวิธีไหน องค์กรอาจจะเลือกวิธีอื่น ๆ ที่เหมาะสมตามบริบทขององค์กรก็ได้
4.2 กำหนดให้องค์กรต้องทำความเข้าใจความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสีย ในการดำเนินการเพื่อให้เป็นไปตามข้อกำหนดนี้องค์กรต้องกำหนดว่าใครเป็นผู้มีส่วนได้เสียที่เกี่ยวข้อง และศึกษาความต้องการและความคาดหวังของผู้มีส่วนได้เสียที่กำหนดไว้
สิ่งที่ลืมไม่ได้สำหรับการวิเคราะห์ในข้อนี้คือ การศึกษากฎหมายที่เกี่ยวข้อง เช่น พรบ.ความมั่นคงปลอดภัยไซเบอร์, พรบ.คุ้มครองข้อมูลส่วนบุคคล, พรบ.คอมพิวเตอร์ ฯลฯ ระเบียบข้อบังคับ ตลอดจนสัญญา และข้อผู้พันธ์ตามสัญญากับผู้ให้หรือผู้รับบริการที่เกี่ยวข้องกับองค์กร
4.3 เมื่อทำการศึกษาเพื่อเข้าใจองค์กร, บริบทขององค์กร และความคาดหวังของผู้มีส่วนได้เสียแล้ว ก็นำข้อมูลที่ได้มากำหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
ข้อกำหนดที่ 4.3 เป็นข้อกำหนดเดียวในข้อกำหนดที่ 4 ที่กำหนดให้จัดทำเป็นเอกสารสารสนเทศ ข้อกำหนดอื่นไม่ได้กำหนดให้จัดทำ ดังนั้นองค์กรไม่จำเป็นต้องทำเป็นเอกสารก็ได้ แต่ในการตรวจประเมินองค์กรต้องสามารถแสดงให้เห็นได้ว่ามีการวิเคราะห์/ประเมินตามข้อ 4.1-4.2
4.4 กำหนดให้องค์กรจัดตั้ง ดำเนินการ รักษา และพัฒนาปรับปรุงอย่างต่อเนื่อง (Establish, implement, maintain, and continually improve) ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ รวมถึงกระบวนการจำเป็นที่เกี่ยวข้อง
