組織應(yīng)實(shí)施適當(dāng)?shù)姆煞ㄒ?guī)合規(guī)性審查流程，以確保在使用具有知識(shí)產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品時(shí)，符合法律、法規(guī)和合同的要求。這里，知識(shí)產(chǎn)權(quán)包括軟件或文件的版權(quán)、設(shè)計(jì)權(quán)、商標(biāo)、專利權(quán)和源代碼許可證。

組織應(yīng)對合規(guī)性審查記錄進(jìn)行保護(hù)，防止重要的記錄遺失、毀壞和偽造，以滿足法令、 法規(guī)或合同的要求，以及支持必要的業(yè)務(wù)活動(dòng)。舉例來說，可以要求這些記錄作為組織在法令或法規(guī)規(guī)則下運(yùn)行的證據(jù)，以確保充分防御潛在的民事或刑事訴訟，或者和股份持有者、 外部方和審核員確認(rèn)組織的財(cái)務(wù)狀況。可以根據(jù)所在國家行業(yè)的法律或規(guī)章來設(shè)置信息保存的時(shí)間和數(shù)據(jù)內(nèi)容，一般情況下要求長期保存。

許多國家已經(jīng)具有控制公民個(gè)人信息（一般是指可以從該信息確定生命個(gè)體的信息）收集、處理和傳輸?shù)姆伞?yīng)依照相關(guān)的法律、法規(guī)和合同條款的要求，確保個(gè)人身份信息的隱私和保護(hù)。

組織對于其使用的加密技術(shù)應(yīng)遵從相關(guān)的協(xié)議、法律和法規(guī)，包括：

1)限制執(zhí)行加密功能的計(jì)算機(jī)硬件和軟件的人口或出口；

2)限制被設(shè)計(jì)用以增加加密功能的計(jì)算機(jī)硬件和軟件的人口或出口；

3)限制加密技術(shù)的使用；

4)利用國家對硬件或軟件加密的信息的授權(quán)的強(qiáng)制或任意的訪問方法提供內(nèi)容的保密性。