3)合規(guī)性

可以把合規(guī)性理解為兩個層面的問題：法律法規(guī)的合規(guī)，如知識產(chǎn)權(quán)侵犯，符合法律的網(wǎng)絡(luò)監(jiān)控行為和數(shù)據(jù)出口行為；另一個層面是標(biāo)準(zhǔn)的合規(guī)性，如第三方支付卡業(yè)務(wù)所需要的PCI-DSS；政府、國企所需要的信息安全等級保護(hù)等等標(biāo)準(zhǔn)規(guī)范文件。商業(yè)組織的運行離不開合規(guī)性的保護(hù)和約束，所以商業(yè)組織必須選擇適合自己的合規(guī)性規(guī)約，才能低成本高質(zhì)量的產(chǎn)品。

監(jiān)管合規(guī)性描述了組織在努力確保他們意識到并采取措施遵守相關(guān)法律，政策和法規(guī)，同時明確希望實現(xiàn)的目標(biāo)。由于法規(guī)的數(shù)量和對業(yè)務(wù)透明度的需求越來越多，各組織越來越多地采用統(tǒng)一和協(xié)調(diào)的合規(guī)控制系統(tǒng)。這種方法用于確保滿足所有必要的治理要求，而不會造成不必要的重復(fù)工作和資源活動。

國際標(biāo)準(zhǔn)化組織( ISO)生產(chǎn)國際標(biāo)準(zhǔn)，國際電工委員會(International Electrotec,hnical Commission，IEC)在電工技術(shù)領(lǐng)域制定國際標(biāo)準(zhǔn)，如ISO／IEC 27002。一些本地或國際專業(yè)組織，如美國機械工程師協(xié)會（AmericanSociety of Mechanic,al Engineers，ASME）也制定標(biāo)準(zhǔn)和法規(guī)代碼。因此，它們提供了廣泛的規(guī)則和指令，以確保產(chǎn)品符合安全，安全或設(shè)計標(biāo)準(zhǔn)。還有一些適用于不同領(lǐng)域的其他法規(guī)，如PCI-DSS，GLBA，F(xiàn)ISMA，聯(lián)合委員會和HIPAA。在某些情況下，其他合格性框架（如COBIT）或標(biāo)準(zhǔn)(NIST)指導(dǎo)組織如何遵守這些規(guī)定。