a.根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估风险。 应根据风险评估的结果，采取相应措施，降低潜在风险。

b.在日常企业生产和管理中，对信息安全予以重视，全面识别和分析本公司信息资产，系统考虑企业信息系统薄弱点、可能存在的威胁，考虑成本、利益、风险的综合平衡，对资产进行分类保护，以适宜的成本达到系统保护的要求。

c.建立健全信息安全监督和保证体系，明确各级、各岗位的信息安全责任，以人为本，坚持全员、全方位、全过程信息安全管理。通过测量和监控，持续改进，保证信息安全管理体系的有效运行，做到制度/规范执行有记录、记录记载可追溯， 最终保障企业生产、经营、管理和服务的持续安全，实现企业发展目标。