組織應實施適當?shù)姆煞ㄒ?guī)合規(guī)性審查流程，以確保在使用具有知識產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品時，符合法律、法規(guī)和合同的要求。這里，知識產(chǎn)權(quán)包括軟件或文件的版權(quán)、設計權(quán)、商標、專利權(quán)和源代碼許可證。

組織應對合規(guī)性審查記錄進行保護，防止重要的記錄遺失、毀壞和偽造，以滿足法令、 法規(guī)或合同的要求，以及支持必要的業(yè)務活動。舉例來說，可以要求這些記錄作為組織在法令或法規(guī)規(guī)則下運行的證據(jù)，以確保充分防御潛在的民事或刑事訴訟，或者和股份持有者、 外部方和審核員確認組織的財務狀況。可以根據(jù)所在國家行業(yè)的法律或規(guī)章來設置信息保存的時間和數(shù)據(jù)內(nèi)容，一般情況下要求長期保存。

許多國家已經(jīng)具有控制公民個人信息（一般是指可以從該信息確定生命個體的信息）收集、處理和傳輸?shù)姆伞勒障嚓P的法律、法規(guī)和合同條款的要求，確保個人身份信息的隱私和保護。

組織對于其使用的加密技術應遵從相關的協(xié)議、法律和法規(guī)，包括：

1)限制執(zhí)行加密功能的計算機硬件和軟件的人口或出口；

2)限制被設計用以增加加密功能的計算機硬件和軟件的人口或出口；

3)限制加密技術的使用；

4)利用國家對硬件或軟件加密的信息的授權(quán)的強制或任意的訪問方法提供內(nèi)容的保密性。