一段时间以来，在信息安全理论和技术的发展过程中，信息安全风险管理理论和方法一直是人们普遍接受的信息安全问题解决思路，随着信息安全等级保护工作的全面展开，人们疑惑信息安全等级保护制度与以往信息安全风险管理之间的关系，其实，信息安全等级保护制度就是带有中国特色的国家信息安全风险管控行为。

    无论是政府机构，还是企业组织，存在的目的都是为其利益相关方带来价值。所面临的挑战是在追求利益相关方价值增长的同时，随时准备接受不确定性。不确定性既代表风险，也代表机遇，对不确定性的管理，就是对风险的管理。现代风险管理理论产生于西方国家，它是为制定有效的经济发展战略和市场竞争策略而创造的一种理论和方法。风险管理理论由于它的广泛适用性，现已被各个国家用于社会发展、经济建设、公共安全和信息安全诸多领域。

    风险管理理论应用于信息安全领域始于20世纪60年代，当时随着资源共享计算机系统和早期计算机网络的出现，计算机安全问题初步显露，20世纪90年代由于互联网、移动通信和跨国光缆的高速发展，信息安全成为世界各国面临的共同挑战，与此同时风险管理理论和方法获得了迅速的发展。

    1996年国际标准组织发布了ISO/IEC 13335标准即《信息技术安全管理指南》。1999年发布了ISO/IEC 15408标准即《信息技术安全评估共同准则》（CC标准）。2000年又发布了ISO/IEC 177799即《信息技术信息安全管理实用规则》，其中ISO/IEC 13335提出了最早的普遍被人们接受的信息安全风险管理理论和方法。

第三十五届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。