策略。信息安全方针为：
全员参与明确责任预防为主快速响应风险管控
f持续改进
风险评估
在体系建立过程中，XXXX确定信息安全风险评估方法，对XXXX电子政务信息系统实施风险评估，识别电子政务信息系统所面临的风险。
风险处置
在风险评估后，XXXX根据风险评估的结果，确定风险处置的策略，包括：采用风险控制措施，以降低面临的信息安全风险；在满足信息安全方针和风险接受准则的前提下，有意识地、客观地接受
风险；避免风险；转移相关业务风险到其他方面，如：购买产品维保，运维服务外包等；XXXX根据风险处置策略，制定风险控制措施，对已识别出的风险进行分类处理，并对残余风险进行了批准。
适用性声明
在风险处置活动实施后，XXXX从以下几方面准备了体系适用性声明：从ISOIEC27001标准中附录A给出的控制目标和控制措施，以及选择
的理由；当前实施的控制目标和控制措施；对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。2实施和运行信息安全管理体系XXXX在实施和运行信息安全管理体系中所开展的工作包括：
f通过风险管理方法来控制电子政务信息系统中存在的信息安全风险，配置资源、明确职责和优先级别，实施适当的管理措施；
实施各信息安全管理体系文件中包括的控制措施，以达到各控制目标；测量各信息安全管理体系文件中控制措施实施的有效性，明确对测量结
果的分析和评估准则，并作为持续改进的输入；实施培训和意识教育计划；管理ISMS的资源；实施能迅速检测安全事件和响应安全事故的程序，具体要求参见《信息
安全事件管理办法》。3监视和评审信息安全管理体系XXXX将对信息安全管理体系进行监视，并定期或不定期的进行内审和管理评审，包括：
执行监视和评审程序以及其它相关措施，以达到：
迅速检测信息安全管理体系运行过程中的缺陷和弱点；迅速识别潜在的和已发生的信息安全违规和事故；确保管理者分配给各人员的信息安全活动或通过信息技术实施的信息安
全活动能如期执行；确定信息安全措施的有效性。
在内审结果、信息安全事故、有效性测量结果、所有相关方的建议和反馈的基础上，定期进行信息安全管理评审，以判断信息安全管理体系的有效性。
定期进行信息安全风险评估的评审，以及对残余风险和已确定的可接受的风险级别进行评审，评审时应考虑以下方面的变化：
组织机构的变化；
f信息安全相关组织结构的变化；信息技r