5.2.14  符合性

符合性包含2個控制目標8個控制措施。

　　對每一個信息系統和組織而言，所在國家行業的所有相關信息安全法令、法規和合同要求，以及為滿足這些要求組織所采用的方法，均應以文件加以明確地定義、形成正式文件由管理層審批簽署并保持更新。安全管理人員應明確所有適用于其組織的法律以滿足業務類型的需求。若組織在其他國家執行業務，安全管理人員應考慮與相關國家的符合性。