從法律的觀點看，對某個組織重要的控制措施包括，根據(jù)適用的法律：

a)數(shù)據(jù)保護和個人信息的隱私（見15.1.4）；

(6)國家質(zhì)量監(jiān)督檢驗檢疫總局2001年12月公布的《采用國際標準管理辦法》中： 第十三條我國標準采用國際標準的程度代號為：

IDT:等同采用(identical)；

MOD:修改采用(modified)。

第十五條采用國際標準的我國標準的編號表示方法如下：

（一）等同采用國際標準的我國標準采用雙編號的表示方法，示例：GB×××××一××××／ISO× ××××：××××。

（二）修改采用國際標準的我國標準，只使用我國標準編號。 本書中的等同采用標準就采用上述標識方法。

《采用國際標準管理辦法》全文可以在國家質(zhì)量監(jiān)督檢疫總局官方網(wǎng)站的標準化法律法規(guī)欄目查閱，網(wǎng)址為：http: //www. aqsiq. gov. cn/zwgk/flgz/bzhflfg/200610/t20061027 17178. htm。

b)保護組織的記錄（見15.1.3）； c)知識產(chǎn)權(quán)（見15.1.2）。

被認為是信息安全的常用慣例的控制措施包括：

a)信息安全方針文件（見5.1.1）；

b)信息安全職責的分配（見6.1.3）；

c)信息安全意識、教育和培訓（見8.2.2）；

d)應用中的正確處理（見12.2）；

e)技術脆弱性管理（見12.6）；

f)業(yè)務連續(xù)性管理（見14）；

g)信息安全事故和改進管理（見13.2）。 這些控制措施適用于大多數(shù)組織和環(huán)境。

應注意，雖然本標準中的所有控制措施都是重要的并且是應被考慮的，但是應根據(jù)某個組織所面臨的特定風險來確定任何一種控制措施是否是合適的。因此，雖然上述方法被認為是一種良好的起點，但它并不能取代基于風險評估而選擇的控制措施。