信息安全管理體系（ISMS）是組織依據GB/T22080/ ISO/IEC27001（信息技術安全技術信息安全管理體系要求）的要求，是組織整體管理體系的一個部分，是基于風險評估，來建立、實施、運行、監視、評審、保持和改進信息安全等一系列的管理活動，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。

ISO/IEC27001是建立和維護信息安全管理體系的標準，它要求組織通過一系列的過程如確定信息安全管理體系范圍，制定信息安全方針和策略，明確管理職責，以風險評估為基礎選擇控制目標和控制措施等，使組織達到動態的、系統的、全員參與的、制度化的、以預防為主的信息安全管理方式。

( 1 )對低賄賂風險以上的特定項目、交易、活動,計劃建立或維持相關業務關系的商業伙伴,特定崗位的員工開展盡職調查。

( 2 )實施充分的財務控制措施,包括同一人不能同時擁有提出和批準付款的權利、付款審批實行梯度授權制度(需要更高級別領導審批)、付款審批要求有兩人以上簽名、采取有效的現金控制方法等。

(3)在采購、運營、銷售、業務、人力資源法律和監管活動等非財務方面加強控制,包括分包商和供應商資格預審、執行公開透明的招投標制度、至少兩人評估投標和批準簽訂合同、不在合同簽訂前后等敏感時間點向對方付款等。

(4 )確定并實施禮物、招待、贊助費、捐贈和類似利益的標準和規定,對相關利益進行系統全面的識別,并進行嚴格管控和審批。

( 5 )確保管轄內的組織,如下屬機構、子公司等符合反賄賂管理體系要求。對低賄賂風險水平以上的商業伙伴,應提出實施反賄賂措施、進行反賄賂聲明等要求。

(6 )建立并實施匯報程序。

( 7 )建立并實施賄賂調查和處置程序。

(8 )對特定交易、項目、活動或商業伙伴關系展開風險評估后,發現現有措施無法管理風險時,要根據實際情況及時采取應對措施。