3)合规性

可以把合规性理解为两个层面的问题：法律法规的合规，如知识产权侵犯，符合法律的网络监控行为和数据出口行为；另一个层面是标准的合规性，如第三方支付卡业务所需要的PCI-DSS；政府、国企所需要的信息安全等级保护等等标准规范文件。商业组织的运行离不开合规性的保护和约束，所以商业组织必须选择适合自己的合规性规约，才能低成本高质量的产品。

监管合规性描述了组织在努力确保他们意识到并采取措施遵守相关法律，政策和法规，同时明确希望实现的目标。由于法规的数量和对业务透明度的需求越来越多，各组织越来越多地采用统一和协调的合规控制系统。这种方法用于确保满足所有必要的治理要求，而不会造成不必要的重复工作和资源活动。

国际标准化组织( ISO)生产国际标准，国际电工委员会(International Electrotec,hnical Commission，IEC)在电工技术领域制定国际标准，如ISO／IEC 27002。一些本地或国际专业组织，如美国机械工程师协会（AmericanSociety of Mechanic,al Engineers，ASME）也制定标准和法规代码。因此，它们提供了广泛的规则和指令，以确保产品符合安全，安全或设计标准。还有一些适用于不同领域的其他法规，如PCI-DSS，GLBA，FISMA，联合委员会和HIPAA。在某些情况下，其他合格性框架（如COBIT）或标准(NIST)指导组织如何遵守这些规定。