11.1 符合性管理策略和流程（MCP_PPP）

組織機構應建立有效的監督體系以監督驗證信息系統安全保障工作對相關法律法、政策標準等要求以及組織機構所制定的信息安全策略體系的符合性以及執行的效果。
圖9描述了符合性管理管理保障控制類的組成結構。

11.1　符合性管理策略和流程（MCP_PPP）

11.1.1　安全保障管理目的

組織機構應建立有效的符合性監督體系，以監督驗證信息安全保障工作的執行效果。
符合性管理策略和流程是組織機構信息安全策略體系的組成部分，組織機構應制定、批準、發布、實施和審核信息安全規劃工作的策略方針、制度規范與程序指南以及第三層表單和程序文件。
符合性管理應基于組織機構的業務要求和風險管理的要求，它包括對相關法律法、政策標準等要求以及組織機構所制定的信息安全策略體系的符合性管理。
組織機構應結合已有的管理體系，設置定量的質量目標與度量標準，使管理效果趨于定量的控制和驗證。

11.1.2　MCP_PPP.1 符合性管理策略和流程

11.1.2.1　管理保障控制組件控制

組織機構應開發、分發和定期審核/更新：（i）一份正式的、文檔化的符合性管理策略方針，包括目的、范圍、角色、職責和符合性；（ii）正式、文檔化的制度規范和程序指南以幫助實施符合性管理策略和相關的符合性管理控制；（iii）正式、文檔化的表單文件和過程幫助記錄并明確符合性管理與運行的過程實施步驟、內容、結果。

11.1.2.2　管理保障控制組件注解

符合性管理策略應作為組織機構信息安全策略體系的一個有機組成部分。組織機構在管理符合性時，應對國家、信息安全權威機構、上級部門、本機構的相關法律法規、政策、規章制度、策略體系文件等要求進行分類匯編和整理，根據這些要求并結合組織機構的業務要求和風險管理要求以及組織機構的信息安全策略體系的規范要求制定符合性管理的策略文件。
在編制具體的策略方針、制度規范與程序指南以及第三層表單和過程記錄時，應參考信息安全策略體系（MSP）管理保障控制類的具體描述和要求。