分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

JIS Q 27001:2014において、組織がISMS(情報セキュリティマネジメントシステム)を確立するまでの流れは以下のように定義されています。

1. 組織及びその状況の理解
2. 利害関係者のニーズ及び期待の理解
3. 情報セキュリティマネジメントシステムの適用範囲の決定
4. 情報セキュリティマネジメントシステムの確立

情報セキュリティリスクアセスメント、情報セキュリティリスク対応、内部監査は確立されたISMSに基づき実施されるものですから、確立の段階で行われる作業は「利害関係者のニーズと期待の理解」ということになります。