組織應實施適當的法律法規合規性審查流程，以確保在使用具有知識產權的材料和具有所有權的軟件產品時，符合法律、法規和合同的要求。這里，知識產權包括軟件或文件的版權、設計權、商標、專利權和源代碼許可證。

組織應對合規性審查記錄進行保護，防止重要的記錄遺失、毀壞和偽造，以滿足法令、 法規或合同的要求，以及支持必要的業務活動。舉例來說，可以要求這些記錄作為組織在法令或法規規則下運行的證據，以確保充分防御潛在的民事或刑事訴訟，或者和股份持有者、 外部方和審核員確認組織的財務狀況。可以根據所在國家行業的法律或規章來設置信息保存的時間和數據內容，一般情況下要求長期保存。

許多國家已經具有控制公民個人信息（一般是指可以從該信息確定生命個體的信息）收集、處理和傳輸的法律。應依照相關的法律、法規和合同條款的要求，確保個人身份信息的隱私和保護。

組織對于其使用的加密技術應遵從相關的協議、法律和法規，包括：

1)限制執行加密功能的計算機硬件和軟件的人口或出口；

2)限制被設計用以增加加密功能的計算機硬件和軟件的人口或出口；

3)限制加密技術的使用；

4)利用國家對硬件或軟件加密的信息的授權的強制或任意的訪問方法提供內容的保密性。