该如何应对信息安全风险呢？笔者认为主要应该从以下几方面着手: 第一，应建立信息安全风险的应对战略和政策。我们应该明确政府的角色，强化信息安全风险管理的责任; 第二，建立和发展信息安全风险管理的文化; 第三，做好国家信息安全的薄弱环节识别，减少信息化系统的问题;第四，通过有效的教育和培训，提高和强化整个社会的信息安全风险管理和安全意识能力; 第五，强化信息化相关的立法，建立有效的管理机制，以防止和化解信息安全风险; 第六，建立健全国家信息化的技术安全平台，通过安全技术保障信息系统的安全。信息安全应该是管理和技术并重才行。以前说七分管理,三分技术。有管理，没有一定的技术支持肯定是不行的，但光有技术，管理不到位肯定也是不行的; 第七，采取有效的措施，确保敏感信息和国家重要信息基础设施的安全; 第八，保障政府系统的安全。这是非常重要的，在2001年中美黑客大战中，70%～80%被“黑”的网站是政府网站; 第九，建立国家网络空间安全的危机管理系统; 第十，通过信息的共享和广泛的合作，化解信息安全风险。 要应对安全风险，首先要确切掌握网络和信息系统的安全程度，分析安全威胁来自何方，安全风险有多大，风险评估就是解决这一问题的重要方法和基础性工作。 系统的安全性可以通过风险大小来衡量，科学地分析系统的保密性、完整性、程序性方面面临的问题，发现危险的主要位置，就能在风险的预防、减少、转移、补偿和分散上做出决策，最大限度地控制和化解安全风险。实际上，我们都知道安全和效率是互相矛盾的，如何在安全和效率之间进行平衡，这是风险评估中一个非常重要的内容。 网络信息系统的安全建设建立在风险评估的基础上，这是信息化建设的内在要求，系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，用户才可以避免重复建设和投资的浪费。