a.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估风险。 应根据风险评估的结果,采取相应措施,降低潜在风险。
b.在日常企业生产和管理中,对信息安全予以重视,全面识别和分析本公司信息资产,系统考虑企业信息系统薄弱点、可能存在的威胁,考虑成本、利益、风险的综合平衡,对资产进行分类保护,以适宜的成本达到系统保护的要求。
c.建立健全信息安全监督和保证体系,明确各级、各岗位的信息安全责任,以人为本,坚持全员、全方位、全过程信息安全管理。通过测量和监控,持续改进,保证信息安全管理体系的有效运行,做到制度/规范执行有记录、记录记载可追溯, 最终保障企业生产、经营、管理和服务的持续安全,实现企业发展目标。