11.3 安全策略、標準和技術符合性（MCP_PSP）

11.3.1　安全保障管理目的

組織機構應保證系統符合組織機構的安全策略和標準。
組織機構應定期檢查信息系統的安全性。應該對照適當的安全策略和技術平臺進行這樣的檢查，并審計信息系統對安全實施標準的符合性。

11.3.2　MCP_PSP.1 符合安全策略符合性

11.3.2.1　管理保障控制組件控制

管理人員應確定在自己負責范圍之內正確執行所有安全程序。

11.3.2.2　管理保障控制組件注解

管理人員應定期檢查自己的系統是否符合組織機構信息安全策略體系及其它安全要求。
如果審查后發現不符合，管理人員應該：
a) 尋找不符合的原因；
b) 是否需要采取行動來評估，使不符合性不再發生；
c) 確定并實施恰當的糾正行為；
d) 審查所采取的糾正行為。
管理人員實施的審查和糾正性的行動都應記錄。當有些人員在自己職責范圍內進行獨立審核，管理人員應將上述行動結果匯報給這些人員。

11.3.3　MCP_PSP.2 技術符合性的檢查

11.3.3.1　管理保障控制組件控制

組織機構應定期檢查信息系統安全實施標準的符合度。技術符合性檢查包括檢查正在使用的系統，以保證正確的實施硬件及軟件的控制。

11.3.3.2　管理保障控制組件注解

技術符合性檢查應該由有經驗的系統工程師手工進行（如需要，利用合適的軟件工具），也可以使用在自動工具包的幫助下，使用自動軟件包生成技術報告，并交由技術專家負責解釋檢查結果。
如果使用滲透測試和脆弱性評估，應謹慎從事，因為這種行為可能會破壞系統安全。應計劃、記錄整個測試過程，測試過程應是可重復的。
任何技術符合性檢查應只能由有經驗、合法的人員進行，或是在這些專家的指導下進行。