本文对基层企事业单位信息系统的安全风险问题进行了探讨。在基层企事业单位，现有各类信息系统都存在着一定的安全风险问题。风险评估是基层企事业单位信息系统安全管理过程中的一项持续性的基础性工作。一要坚持具有多种知识和能力的人，特别是具备攻防经验和知识的人员共同参与，有助于提高评估的整体效果；二要尽量区分和细化不同的基层企事业单位的环境差异、需求差异；三要坚持将评估过程转化为众多用户共同“决策”的过程，引导用户全面了解风险，自觉规避风险；四要增强敏感性，进行深入的关联分析，通过一两个漏洞分析能推断出可能相关的其他技术和管理漏洞；五要坚持并积极引导用户自觉地将其个性化需求限制在相关标准和法律规范的范畴内；六要规范安全风险评估的记录文档和结论，加强对评估结论的管理。风险评估的总体目标，是认清信息安全形势、把握信息安全状况，进而明确和强化安全管理责任，采取切实有效的安全保障措施，保持信息安全策略的一致性和持续性，使信息系统的运行更加经济有效。