那么，该如何应对信息安全风险呢？笔者认为主要应该从以下几方面着手: 第一，应建立信息安全风险的应对战略和政策。我们应该明确政府的角色，强化信息安全风险管理的责任; 第二，建立和发展信息安全风险管理的文化; 第三，做好国家信息安全的薄弱环节识别，减少信息化系统的问题; 第四，通过有效的教育和培训，提高和强化整个社会的信息安全风险管理和安全意识能力; 第五，强化信息化相关的立法，建立有效的管理机制，以防止和化解信息安全风险; 第六，建立健全国家信息化的技术安全平台，通过安全技术保障信息系统的安全。信息安全应该是管理和技术并重才行。以前说七分管理,三分技术。有管理，没有一定的技术支持肯定是不行的，但光有技术，管理不到位肯定也是不行的; 第七，采取有效的措施，确保敏感信息和国家重要信息基础设施的安全; 第八，保障政府系统的安全。这是非常重要的，在2001年中美黑客大战中，70%～80%被“黑”的网站是政府网站; 第九，建立国家网络空间安全的危机管理系统; 第十，通过信息的共享和广泛的合作，化解信息安全风险。

要应对安全风险，首先要确切掌握网络和信息系统的安全程度，分析安全威胁来自何方，安全风险有多大，风险评估就是解决这一问题的重要方法和基础性工作。

系统的安全性可以通过风险大小来衡量，科学地分析系统的保密性、完整性、程序性方面面临的问题，发现危险的主要位置，就能在风险的预防、减少、转移、补偿和分散上做出决策，最大限度地控制和化解安全风险。实际上，我们都知道安全和效率是互相矛盾的，如何在安全和效率之间进行平衡，这是风险评估中一个非常重要的内容。

网络信息系统的安全建设建立在风险评估的基础上，这是信息化建设的内在要求，系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，用户才可以避免重复建设和投资的浪费。

我国风险评估工作还应该立足国情，以我为主，突出重点，整合资源，并遵守以下原则:国家指导，政府监管，统一规范，分类指导，突出重点，兼顾一般，军民结合，分工协作，逐步建成有中国特色的风险评估体系，为全面提高国家的安全保障能力而服务。
 
来源：计算机世界