規格書のこの部分を読んでいると、意味の解らない「要求事項」兄弟が情報セキュリティ基本方針のときのように突然あらわれる。
それは最初の「次の事項を判断するために」の「次」にあたるアルファベットで箇条書きしてある部分だ。

「a)この規格及び関連する法令又は規制の要求事項に適合しているかどうか」
「b)特定された情報セキュリティ要求事項に適合しているかどうか。」

キセイの要求？？法令と規制なら、何となく決まりごとで破ったら罰がありそうだけど、それらが要求する何かって国が決めている何か？？じゃ、その何かって何よ？？
しかもその段階で頭がぼーっとなってしまって、後に続く情報セキュリティ要求事項の意味もなんだかよくわからない。情報セキュリティが要求する事柄なんてISMS全部なんじゃないの？何を今さらそんなことと、考えれば考えるほど頭の味噌だるをかきまぜられているような気分になる。 　ではまず、法令と規制の要求事項から整理しよう。
法令とは言わずと知れた法律のこと。ISMS関連の法律といえば「不正アクセス禁止法」、「電気通信事業法」などがあるけれど、これらに抵触することはないかどうか監査でチェックしなさい、ということだ。
ならばここでいう規制とは何か。ISMSユーザーズガイドによると、その業界内での「規制事項」、取引先との契約の中での取決めなど、こちらはお国とは関係のない「守らねばならないこと」になるらしい。
次に、情報セキュリティ要求事項について。これは先に説明した、「機密性・完全性・可用性」などのこと。これらの他にも、 説明可能性(システムの利用者がいつ、どのシステムを利用したか説明できるようにすること)などがあるらしい。リスクアセスメントなど、ここまでISMSをやってきて見つけたそれらをちゃんと守れているかどうかチェックしなさい、ということなのだ。