通过风险评估，可以进行风险计算，计算出大致成本，控制防范风险就是要采取行动，并得到资金的支持。银行业金融机构应根据信息系统总体规划，制定明确、持续的风险管理策略，按照信息系统的敏感程度对各个集成要素进行分析和评估，并实施有效控制。

在硬件方面控制风险，首先要选择合适的供应商，选择满足安全要求的解决方案。在网络安全方面，要将银行内部网络与银行外部网络隔离，通过防火墙或者代理服务器连接。通过隔离连接容易实现数据检查，减少系统暴露面，发现问题系统及时报告及时处理。在银行信息系统建设上，可以借鉴成熟的运行系统，采用成熟的信息技术，银行业金融机构应重视知识产权保护，使用正版软件，加强软件版本管理，优先使用具有中国自主知识产权的软、硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品，并采取有效措施保护本机构信息化成果

在银行信息系统运行方面，银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等;明确与信息系统相关人员的职责权限，建立制约机制，实行最小授权

银行信息系统风险管理要坚持持续管理风险的理念，银行信息系统风险的存在是会随着时间和环境的变化而不断变化，持续管理就是要跟随环境的变化。建立持续管理策略，就是在银行信息系统中，不断地进行评估。不断地实施PDCA循环，即计划(Plan)、实施(Do)、检测(Check)、改进(Action)四个进程。安全控制的境界不能放在不断纠正错误上，应该放在预防上，就是要不断检测，不断发现不安全因素，不断地改进，使系统符合变化环境下安全需求。