1 行政中心建立并实施《预防措施管理程序》，规定采取以下措施，以消除潜在与信息安全管理体系要求不符合的原因，防止其发生。

　　2 所采取的预防措施应与潜在问题的影响程度相适应。

　　3 《预防措施管理程序》应规定以下方面的要求：

　　a) 识别潜在的不符合及其原因；

　　b) 评价预防不符合发生的措施要求；

　　c) 确定并实施所需的预防措施；

　　d) 记录所采取措施的结果；

　　e) 评审所采取的预防措施。

　　4 公司风险评估小组应定期进行风险评估，以识别变化的风险，并通过关注变化显著的风险来识别预防措施要求。预防措施的优先级应基于风险评估结果来确定。