目前，大多数单位都认识到单纯依靠技术和安全设备带不来真正的安全，但在具体的信息系统风险管理中“偏技术、轻管理”的现象还普遍存在。很多单位的主管片面地认为，风险管理就是由单位信息中心请安全公司进行检查，然后根据给出的评估报告购买设备，制定管理制度，就基本上完成了风险管理过程。这样的风险管理过程是不完善的，效果也并不明显。
风险管理不能与业务脱节
在信息系统安全风险管理过程中，应该紧紧围绕着一条主线，那就是信息系统所承载的业务应用，脱离业务的风险管理过程是没有意义的。
系统安全风险管理不仅仅是对信息系统自身的风险进行管理，更重要的是对整个单位业务的风险进行管理。我们要保护的不是孤立的终端、服务器、网络，而是运行在其上的数据和它们所提供的服务。因此，对系统所承载业务分析的透彻程度是风险管理有效性能否得到保证的决定因素。这一点即使是资深的安全测评人员都是力不从心的。
所以，系统风险管理需要由一个团队实施完成。团队中既要有业务部门的人员，又要包括信息技术人员。人员构成上应包括组织的不同层次的代表：高层管理人员、中层管理人员和一般职员。
高层管理人员在风险管理中起着积极倡导的作用，安全目标的确立，风险对策的决定和实施都与领导的重视程度有着密切的关系，他们的参与是保证风险管理有效的重要因素之一。
风险控制要有优先级
风险控制是在风险管理过程中对风险进行分析后实施的行为，它包括对风险评估过程中建议的安全防护措施进行优先级排序、评估和实现。lOCalHoSt
因为消除所有风险往往是不切实际的，甚至也是近乎不可能的，所以高级管理人员和业务职能主管有责任运用最小成本方法来进行最合适的控制，将安全风险降低到一个可接受的程度，使得对单位造成的负面影响最小化。
围绕风险管理所要解决的问题，对于风险有如下控制措施：
风险承受：接受潜在的风险并继续运行信息系统，或采取安全防护措施，以把风险降低到一个可接受的级别。
风险规避：通过消除风险的原因和/或后果（如在识别出风险后放弃系统某项功能或关闭系统）来规避风险。
风险转移：通过使用其它措施来补偿损失，从而转移风险，如购买保险。
当必须采取安全措施进行风险控制时，应该先处理最大的风险，以最小的成本减缓风险，同时使风险对系统的影响降至最小。此外，风险管理应该是一个不间断进行的过程，这需要定期评估和改进安全措施以及重新进行风险分析。