5.2.14  符合性

符合性包含2個(gè)控制目標(biāo)8個(gè)控制措施。

　　對每一個(gè)信息系統(tǒng)和組織而言，所在國家行業(yè)的所有相關(guān)信息安全法令、法規(guī)和合同要求，以及為滿足這些要求組織所采用的方法，均應(yīng)以文件加以明確地定義、形成正式文件由管理層審批簽署并保持更新。安全管理人員應(yīng)明確所有適用于其組織的法律以滿足業(yè)務(wù)類型的需求。若組織在其他國家執(zhí)行業(yè)務(wù)，安全管理人員應(yīng)考慮與相關(guān)國家的符合性。