11.2 法律符合性（MCP_LCP）

11.2.1　安全保障管理目的

組織機構應避免觸犯任何刑事及民事法律以及其它法定的、條例的、合同的義務和安全要求。
信息系統的設計、操作、使用及管理可能受法定的、條例規定的或合同的安全要求約束。
組織機構應向內部和外部的法律顧問和職業法律人士咨詢符合法律要求的具體建議。當組織機構涉及跨國信息其他相關的跨國要求時，組織機構應考慮不同國家立法和文化差異的不同，特別需要注意和考慮的是，當信息的創建、傳輸、處理和使用跨越不同國家或者涉及多個國家、多個組織機構時，組織機構應考慮多國的法律方面的要求的不同，并綜合考慮相應文化差異。

11.2.2　MCP_LCP.1 確定適用的法律

11.2.2.1　管理保障控制組件控制

組織機構應明確標識信息安全保障相關的所有國家、信息安全權威機構、上級部門、本機構的相關法律法規、政策、規章制度、策略體系文件等要求，并將這些要求進行文檔化、匯編和整理，并保持相關文件的更新。
組織機構可根據業務要求和風險管理的要求，為一類信息系統、特定的某個信息系統或信息系統的一部分確定、文檔化和匯編相關的法律要求。

11.2.2.2　管理保障控制組件注解

為了滿足這些需求應定義相應的具體控制措施和個人職責，并將其文檔化。

11.2.3　MCP_LCP.2 知識產權

11.2.3.1　管理保障控制組件控制

當涉及知識產權、所有權相關的要求時，組織機構應實施恰當的流程，以保證流程符合法定的、條例的、合同的相關要求。
組織機構侵犯版權的活動會導致相關的法律行動，甚至可能會涉及刑事起訴等。
組織機構應考慮私有信息的拷貝相關的問題，以遵守相關法律法規或合同的要求。

11.2.3.2　管理保障控制組件注解

為了保護涉及知識產權的物品時，組織機構應考慮以下內容：
a) 公開宣布知識產權的權利符合性策略，在策略中定義軟件和信息產品的合法使用方法；
b) 僅通過正規渠道獲取軟件，確保不侵犯版權；
c) 維護知識產權權利保護意識，對違反知識產權保護行為的人員給予處罰；
d) 維護授權許可所有權、主磁盤、手冊等的證明文件及證據；
f) 實施控制，保證實際使用者的數目不會超出所容許的最大用戶數目；
g） 進行檢查，確保只安裝合法的軟件和取得授權許可的產品；；
h) 制定遵守授權協議的策略；
i） 制定清除或轉移軟件到其它用戶的策略；
j） 使用合適的審計工具；
k） 遵守從公用網獲取的軟件及信息的限期和條件。
l) 除非版權法允許，否則不許將商業電子產品（電影等）復制、轉換到其他格式或解壓縮；
m) 除非版權法允許，否則不許完全或部分拷貝書、文章、報告和其他文檔。

11.2.4　MCP_LCP.3 組織機構記錄的保護

11.2.4.1　管理保障控制組件控制

組織機構應保護其重要記錄，防止重要記錄的丟失丟失、破壞或假冒，并且確保其符合相關法律法規、標準政策、合同等以及業務要求。

11.2.4.2　管理保障控制組件注解

組織機構應按記錄類型對記錄分類，例如會計記錄、數據庫記錄、交易日志、審計日志及操作流程，每類都需要寫明保留期限及存儲介質的種類，例如紙、單片縮影膠片、磁盤或光盤。任何用密鑰加密的或數字簽名的歸檔文件，都應該安全地保存，并記錄保存能夠解密的文檔。
組織機構應考慮儲存記錄的介質性能下降的可能性。儲存及處理程序應按生產商的規格實施。長時間存儲，建議使用紙質和膠片。
如果選用電子存儲介質，要保證在整個保存期間都可以訪問數據，以免因技術更新而丟失數據。
組織機構應該選擇合適的數據儲存系統，使所需數據在可接受的時間段內以可接受的格式檢索。
系統的儲存和處理措施應該保證能夠清楚地識別記錄，識別國家、地方法律法規規定的記錄保存期限。如果組織機構不需要這些記錄數據時，系統應允許銷毀。
要達到保護記錄的目標，組織機構內應采取以下的步驟：
1） 應制定記錄及信息的保存、儲存、處理和清除的指導方針；
2） 應制定保存時間表，確定哪些重要記錄種類需要保存，保存時間有多長；
3） 應該維護重要信息來源的清單；
4） 要實施適當的控制來保護重要的記錄保證信息不被丟失、破壞及假冒。

11.2.5　MCP_LCP.4 防止信息處理設備被濫用

11.2.5.1　管理保障控制組件控制

組織機構應該禁止用戶未經授權使用信息處理設施。

11.2.5.2　管理保障控制組件注解

應該由組織機構管理層批準設備的使用。如果沒有管理層的批準，所有非業務用途或非法的使用一律被視為不正當使用這些設備。如果監控或其它方法查出有這樣的活動，應通知有關經理注意，考慮采取適當的處罰行動。
實施監控程序前，應征求法律意見。
所有用戶都應當知道自己的準確訪問范圍和監控未授權使用的監控范圍。這可以通過（舉例來說）給予用戶書面授權來實現，其中一份用戶應簽名并由組織機構安全妥善保存。組織機構的員工和第三方用戶都要被告知：如果沒有授權他們不能訪問系統。
登錄時，計算機屏幕要顯示警告消息，說明現在所進入的系統是專有的，非法進入是不容許的。用戶要確認自己明白了這條說明，并遵守屏幕上的規定繼續登錄。

11.2.6　MCP_LCP.5 密碼控制的規定

11.2.6.1　管理保障控制組件控制

組織機構在使用加密控制措施時應符合所有相關的協議、法律和法規。

11.2.6.2　管理保障控制組件注解

為了符合相關的協議、法律和法規，組織機構應考慮如下幾項：
a) 有加密功能的計算機軟硬件在進口和出口時的限制；
b) 加密方法的使用限制；
d) 為了確保信息內容保密，硬件或軟件加密了信息，但國家權威機關使用強制訪問或自主訪問方法可以訪問這些信息。
為了保證不違反國家的法律法規，應咨詢法律的建議。把經過加密的信息或密碼控制措施轉移到另一個國家前，應采用法律規定的內容

11.2.7　MCP_LCP.6 數據和隱私保護

11.2.7.1　管理保障控制組件控制

組織機構應按照法律、法規或合同中規定的要求保證數據和個人信息的隱私。

11.2.7.2　管理保障控制組件注解

組織機構應建立數據保護和隱私策略。策略應該傳達到所有涉及人員信息處理的人員。
要符合這些策略和所有相關的數據保護法律法規就需要有相應的管理架構和控制措施。最好的實現方法，往往是任命一個專職人員，例如數據保護經理，由他負責指導管理人員、用戶及服務供應商應做什么、應遵守那些程序。在處理個人信息和確保人員有數據保護相關的意識時，組織機構應根據相關的法律法規來確定與此相關的職責。為了保護個人信息，組織機構應該實施適當的技術和運營措施。