Наряду с нормативными требованиями следует также проанализировать контрактные обязательства организации, выраженные в договорах с поставщиками, дилерами, разработчиками, партнерами, клиентами и другими внешними сторонами. Эти договора анализируются на предмет наличия обязательств по соблюдению авторских прав и лицензионных соглашений, соглашений о конфиденциальности, компенсации материального ущерба и т.п.
Соглашения и договора с внешними сторонами могут накладывать на организацию любые обязанности и ответственность за обеспечение защиты информации третьих сторон, включая соблюдение политики безопасности внешних сторон, требований по обеспечению физической защиты оборудования и помещений, реализации мероприятий по защите от вредоносного ПО, разграничения доступа к совместно используемым ресурсам, повышению осведомленности сотрудников и т.п.
Внешние стороны оказывают очень значительное влияние на информационные риски, с которыми сталкивается организация, поэтому все соглашения и договора с внешними сторонами должны подвергаться тщательному анализу со стороны эксперта по оценке рисков совместно с юристами организации. Требования внешних сторон должны отражаться в общем реестре требований безопасности.