1.2 信息安全风险管理

1.2.1 信息安全

1.2.1.1 信息

1.信息的定义

“信息”作为专业用语，最早于1928年R·V·哈特莱撰写的《信息传输》一书中出现。“信息”的定义是信息科学、系统科学、情报学、文献学和计算机科学等多个学科领域的基本概念，而其精确的科学定义在学术界已经探讨了几十年，目前仍没有确定的结论。1948年，信息论的奠基人克劳德·艾尔伍德·香农在他的著名作品《通信的数学理论》中提出了著名的信息量计算公式：

一个信息由n个符号所构成，符号k出现的概率为pk，则有：

这个公式和热力学中熵的本质一样，故也称为信息熵公式。从公式可知，当各个符号出现的概率相等，即“不确定性”最高时，信息熵最大。故信息可以视为“不确定性”的度量。这个公式是一个狭义的数学定义，显然不能概括当今信息社会中包罗万象的“信息”。

此后，无数哲学家、科学家尝试从不同角度解释信息的概念。香农对信息给出的字面解释是：信息是对不确定性的消除。这个定义连续用了两次否定，否定之否定就是肯定，而否定式的界定是定义的禁忌。美国数学家、控制论的奠基人诺伯特·维纳在他的《控制论——动物和机器中的通信与控制问题》中认为，信息是“我们在适应外部世界、控制外部世界的过程中同外部世界交换的内容的名称”，英国学者阿希贝认为，信息的本性在于事物本身具有变异度，意大利学者朗高在《信息论：新的趋势与未决问题》中认为，信息是反映事物的形成、关系和差别的东西，它包含于事物的差异之中，而不在事物本身。各个领域的专家学者给出的关于信息的定义多达上百种之多。

可以看到，信息是一个与具体领域相关，且正在不断发展和变化的概念，以其不断扩展的内涵和外延，渗透到人类社会、经济和科学技术的众多方面。在信息安全领域，国际标准ISO/IEC 13335《信息技术—安全技术—信息安全管理指南》上对信息的定义是：信息是指在数据上施加一些特殊约定，而赋予了这些数据以特殊含义。换言之，信息不是实体，是事物的一种属性，是通过引入必要的约定条件后而形成的特殊概念体系。中国自古就有信息的概念，例如用烽火台狼烟传递消息。GB/T 5271.1—2000《信息技术 词汇第1部分：基本术语》中对信息的定义是“信息是关于客体（如事实、事件、事物、过程或思想，包括概念）的知识，在一定的场合中具有特定的意义”。直观来讲，信息是一种消息，泛指人类社会传播的一切有意义的内容，包括文字、音频、图像，以及通信系统传输和处理的对象。信息可以以多种形式存储，包括：数字形式（例如，存储在电子或光介质上的数据文件）、物质形式（例如，在纸上），以及以知识形式存在的未被表示的信息（例如，医生的手术经验、工程师的设计技巧）。信息可采用各种不同手段进行传输，例如：信件、电子通信或口头交谈等。

像其他重要业务资产一样，信息是一种有价值的资产，包括文化、规章、文件、图纸、数据等所有有价值的信息资源。信息对组织业务正常开展来说是必不可少的，因此需要得到适当的保护。信息是抽象的，信息发挥作用有赖于信息载体和传输技术。这些载体和技术往往是组织中的基本要素，协助信息的创建、处理、存储、传输、保护和销毁。信息对载体具有较强的依赖性，易受所承担的载体和载体所处环境的影响，造成信息的损失。因此保护信息的价值要求从保护信息载体着手，同时要关注信息载体所处的环境。

2.信息的特性

信息的特性包括载体性、增值性、可存储性和可传递性、共享性等。

（1）载体性：信息的表示、存储和传播要依附于信息载体。

（2）增值性：信息如果经过人的分析和处理，往往会产生新的信息，使信息得到增值。

（3）可存储性和可传递性：信息可以脱离它所反映的事务被存储和传播，这个特性使得很多信息流传至今。

（4）共享性：信息不同于物质资源，它可以转让，可以共享。

此外信息的特性还包括不完整性和真伪性，信息在使用中可不断扩充、不断再生，说明由于信息的重要，很有可能被利用。

1.2.1.2 信息安全

1.信息安全简史

业界通常把信息安全的发展历史分为四个阶段，每个阶段都有一些代表性的事件：

第一个阶段是通信保密阶段，20世纪的40年代到70年代。在此阶段，1949年香农发表了《保密系统的通信理论》，标志着通信保密科学的诞生；1977年，当时的美国国家标准局和美国国家标准学会发布了数据加密标准（DES）；1978年美国麻省理工学院提出了公钥密码体制（RSA）。

第二个阶段是计算机安全阶段，20世纪80年代到90年代。1985年12月，美国国防部发布了《可信计算机系统评估准则》（TCSEC），又称“橘皮书”。

第三个阶段是信息技术安全阶段，20世纪90年代。1996年，国际标准化组织（ISO）发布了第一版ISO/IEC 15408《信息技术—安全技术—信息技术安全性通用评估准则》（简称CC）；1998年，美国国家安全局发布了《信息安全保障技术框架》（简称IATF），提出“纵深防御”，强调信息安全保障战略。

第四个阶段是信息保障阶段，21世纪以后。在该阶段我国的信息安全得到了长足的发展，2014年成立了网络安全和信息化委员会办公室（简称网信办），2016年发布《中华人民共和国网络安全法》，2019年发布新修订的GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》（简称等级保护2.0）。

2.信息安全定义

GB/T 25069—2010《信息技术 安全技术 信息安全管理体系 概述和词汇》（简称GB/T 25069—2010）中对信息安全的定义是：“保护、维持信息的保密性、完整性和可用性，也可包括真实性、可核查性、抗抵赖性、可靠性等性质。”保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）是信息在安全层面的核心特征，又称作信息安全CIA三元组，如图1-2所示。

依据GB/T 25069—2010，保密性、完整性等特性的定义如下：

● 保密性（Confidentiality）：使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。

● 完整性（Integrity）：保护资产准确和完整的特性。

● 可用性（Availability）：已授权实体一旦需要就可访问和使用的数据和资源的特性。

● 真实性（Authenticity）：确保主体或资源的身份正是所声称的特性，真实性适用于用户、进程、系统和信息之类的实体。

● 可核查性（Accountability）：确保可将一个实体的行动唯一地追踪到此实体的特性。

● 抗抵赖性（Non-repudiation）：证明某一动作或事件已经发生的能力，确保事后不能否认这一动作或事件。

● 可靠性（Reliability）：预期行为和结果保持一致的特性。

3.信息安全通用模型

模型是人们认识和描述客观世界的一种方法。在信息安全保障阶段，通常有PDR（保护、检测和响应）模型、PPDR（安全策略、保护、检测和响应）模型、PDRR（保护、检测、响应和恢复）模型、MPDRR（管理、保护、检测、响应和恢复）模型和WPDRRC（预警、保护、检测、响应、恢复和反击）模型。

1）PDR模型

PDR模型是一个最基础、最经典的安全模型，最初由美国国际互联网安全系统公司（ISS）提出，是最早体现主动防御思想的一种安全模型。P是Protection的首字母，D是Detection的首字母，R是Response的首字母，也有说是Reaction的首字母。PDR模型的思想是：攻击需要时间，如果我们能在对方攻击发起时及时发现攻击，并在第一时间做出反应，阻止攻击，就可以达到安全保护的目的。

2）PPDR模型

PPDR模型是在PDR模型前加上了一个安全策略（Policy），PPDR模型以策略为中心，开展信息安全保护。

3）PDRR模型

PDRR模型，是在PDR模式的后面加上了恢复（Recovery），PDRR模型是美国国防部提出的安全模型。

4）MPDRR模型

MPDRR模型，是在PDR模型的前面增加了管理（Management），在后面增加了恢复（Recovery），这是人们逐渐认识到信息安全管理重要性的产物。

5）WPDRRC模型

WPDRRC模型是我国国家高技术研究发展计划信息安全专家组在PDR模型、PPDR模型及PDRR模型的基础上提出的适合我国国情的动态安全模型。WPDRRC模型在PDRR模型四个环节的基础上增加了预警（Warning）和反击（Counterattack）两个组件，共计六个环节，形成了具有动态反馈关系的整体。预警环节根据已经掌握的系统脆弱性，以及威胁的发展趋势，预测未来可能受到的攻击或危害；反击则是采用必要的技术手段，获取威胁行为的线索或证据，形成依法打击的能力。

4.信息安全的常见问题

如上所述，信息安全问题是一个复杂的系统问题。概略地，我们可以由上至下将其分解为法律法规和政策、组织管理、信息安全技术三个层次的问题。本书所讨论的信息安全风险管理问题，是组织整体管理的重要组成部分。为了有效管控信息安全风险，需要以法律法规为依据，以国家政策为指导，采用科学的管理方法，以先进信息技术为基础，立体化、层次化地共同发挥职能，实现为组织生产和发展保驾护航的目的。我国政府对信息安全法律法规体系建设高度重视，通过十多年的努力，基本建立了以《中华人民共和国网络安全法》为基础、涵盖各行各业的信息安全法律法规体系，为我国信息安全产业发展打下了坚实基础。对法律法规的探讨超出本书范围，相关内容读者可参考附录C。站在组织的角度上看问题，信息安全面临的问题主要包括管理和技术两方面。

1）管理问题

以下是管理层面上常见的信息安全问题。

a）信息安全风险管理和组织整体管理体系无法有效整合。分为多种情况：由于组织的目的是创造社会效益和经济利益，在充分认识信息安全的重要性之前，大部分组织不会投入足够成本构建有效的信息安全风险管理体系；即使构建了信息安全风险管理体系，在管理体系中它的重要性也显不足，属于“可有可无”的那一部分；信息安全风险管理的连续性不够，没有形成合理的反馈体系，不能持续改进，信息安全团队始终处于“救火队”角色；缺乏对网络安全和应急响应技术层面有经验的管理人员；没有全职人员对信息安全进行管理，组织成员安全意识不足等。

b）重技术、轻管理。有的组织过于倚重技术手段，不断提高技术手段来加强对信息的保护，但这并不能解决安全问题的全部，散乱或没有明确思想指导的技术所发挥的效应是很小的。在国内，即使在信息安全产业高速发展的今天，许多传统行业的企业仍然抱着“安全=防火墙”的落后认识，缺乏足够的安全意识和警惕性。

c）管理手段缺乏科学性。有的组织尽管认识到了信息安全风险管理的重要性并采取了措施，但是在管理手段上却十分落后。例如，很多国企常常采取“一刀切”的手段，简单地“物理”隔离内外网。网络隔离的设置需要专业人员的充分评估和周密设计，缺乏规划、简单粗暴的隔离措施，反而会使内网安全水平降低。过度依靠隔离会使得人员思想麻痹，以致主机补丁更新不及时，加之管理上的麻痹大意，最终造成某些内网病毒泛滥，损失惨重。

2）技术问题

信息安全面临的技术问题多种多样，最常见的有以下几种。

a）人为失误：如操作员安全配置不当造成的安全漏洞、用户安全意识不强、用户口令选择不慎、用户将自己的账号随意转借他人或与别人共享都会对网络安全带来威胁。人为失误难以完全避免，只能通过完善的管理和技术措施尽可能降低其发生的概率。对很多组织而言，与人为失误相关联的风险，或许比网络攻击等其他威胁更严重。

b）内部窃密和破坏：组织内部具有网络合法访问权的员工、承包商等，若没有采取任何身份验证或加密措施，这些内部人员都能在任意设备上自由复制数据。别有用心的人员可随意泄露组织重要信息，给组织造成巨大损失。据美国联邦调查局的一项调查显示，70%的攻击是从内部发动的，只有30%是从外部攻进来的。

c）网络攻击：网络攻击已经成为信息安全的重大隐患之一。近年来，一些恶意的网络攻击已从个人黑客的单独行动逐渐转变为带有政治、经济目的的国家行为，攻击目标范围也从互联网领域扩展到国计民生的各个领域。攻击的具体形式包括DDoS攻击、漏洞攻击、社会工程学攻击、APT攻击、物理侵入等。

d）病毒等恶意软件：以病毒为代表的恶意软件的核心特征是，软件能够大规模地自我复制和传播。经过数十年的发展，计算机病毒感染方式已从单机的被动传播变成了利用网络弱点（漏洞、弱口令等）的主动传播，威胁更加严重。近几年曾大肆爆发的勒索病毒和挖矿木马等，都可以认为是传统病毒的变种。

e）技术缺陷：由于人类知识水平和技术发展的局限性，在硬件和软件设计过程中，难免留下技术缺陷，由此造成信息安全隐患。技术缺陷几乎是技术发展的伴生品，在人类技术发展史上一直存在，著名的案例包括美国火星气候探测器烧毁、欧洲空间组织阿里亚娜运载火箭发射失败等。

另外，信息安全面临的技术性问题还包括自然灾害等不可抗力因素造成的设备毁坏等。

1.2.2 信息安全风险

1.2.2.1 信息安全风险定义

信息系统本身存在一定的脆弱性，人为或者自然不可抗力的原因造成的威胁导致信息不安全事件随时有可能发生，发生之后所造成的影响就是信息安全风险。在信息安全风险管理中，信息安全风险的定义更加具体，是指组织的信息、信息系统及其赖以运行的基础网络等，由于可能存在的软硬件缺陷，或者信息安全管理中潜在的薄弱环节，而导致的不同程度的安全风险。需要指出的是，如前文所述，广义的风险是中性的，既有有害风险也有有利风险，但信息安全风险评估过程中的风险主要指有害风险，即脆弱性和恶意威胁所导致的不利影响。

从风险的定义出发，信息安全风险可以用信息安全事件发生的可能性和发生之后造成的影响这两个指标来衡量，不仅仅取决于信息安全风险事故发生的概率，还与事故所造成的后果严重程度有关。信息安全风险包括人员、组织、物理环境、信息保密性、信息完整性、信息可用性、系统、通信操作、基础设施、业务连续性、第三方及法律决策等多个方面的风险。

GB/T 31722—2015《信息技术 安全技术 信息安全风险管理》定义信息安全风险是特定威胁利用单个或一组资产脆弱性的可能性，以及由此可能给组织带来的损害。它以事态的可能性及其后果的组合来度量。

GB/Z 24364—2019《信息安全技术 信息安全风险管理指南》中定义信息安全风险是“人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响”。

1.2.2.2 信息安全风险要素

通常，信息安全风险包括以下几种基本要素。

1.战略

战略，即组织发展战略，是组织发展的方针，内容包括组织的属性及职能定位、发展目标、业务规划、竞争关系。发展战略的表现形式是多样的，其内容根据组织发展状况和外界情况会进行动态调整，并受政府、法律、法规、行业管控和监管、竞争关系等影响。

2.业务

业务，即组织运用科学方法和生产工艺生产出可交付用户使用的产品与服务，并以此为组织带来利益的行为。

3.资产

资产，指组织内具有一定价值的生产资料，包括软件、硬件、人员、信息与数据等有形资产，以及制度、文化等无形资产，是安全策略保护的对象。

4.脆弱性

脆弱性，指资产或资产组中能被威胁利用的弱点，如员工缺乏信息安全意识、使用简短或易被猜测到的口令、操作系统有安全漏洞等。

5.威胁

威胁，指促使信息安全事件发生的诱因，如计算机病毒、网络非法访问、恶意组织发起的攻击等。

6.风险

风险，指脆弱性被威胁利用对资产或组织带来不良影响的可能性，即特定威胁事件发生的可能性与后果的综合影响。

7.安全措施

安全措施，指为了保护资产、抵御威胁、改善脆弱性、妥善处理安全事件而采取的安全保护手段，如部署防火墙、IDS（Intrusion Detection System，入侵检测系统）等网络安全设备，以及实施涉密载体管理规范等管理手段。

在这些信息安全风险要素中，组织的战略实现依赖于业务，业务的开展需要具体的资产来支撑，资产具有一定的价值，在业务开展过程中具有不同的重要性，价值不高的、对业务不重要的资产自身重要性也不高。资产会暴露出脆弱性，资产本身及其所处环境如果存在能被利用的脆弱性，一旦脆弱性被威胁利用就有可能对资产造成破坏，增加风险，而风险会影响资产。为了防止脆弱性被威胁利用而造成安全事件，我们往往会依据安全需求采取一定的安全防护措施，以降低风险发生的可能性。安全措施可抵御威胁，控制风险，保障业务的正常开展，安全措施的实施要考虑需保障的业务及所应对的威胁。资产一旦遭到外部威胁的非法破坏，就会给拥有它的组织带来损害，这种损害可能很小，也可能很大，损害的大小与资产的重要性和脆弱性的严重程度相关。风险管理，应综合考虑业务、资产、脆弱性、威胁和安全措施等基本因素。

1.2.3 信息安全风险管理

信息安全风险管理是风险管理在信息领域的应用，是指导和控制组织关于信息安全风险的相互协调活动，是组织完整管理体系中的重要组成部分。信息安全风险管理的对象是组织。从管理学的角度来说，所谓组织，是指由作用不同的个体为实施共同的业务目标而建立的机构。GB/Z 24364—2019《信息安全技术 信息安全风险管理指南》中给出的信息安全风险管理的定义为：“识别、控制、消除或最小化可能影响系统资源的不确定因素的过程”。

1.2.3.1 信息安全风险管理目的和意义

进入网络时代以后，信息安全问题被放到前所未有的重要位置，各种安全威胁层出不穷，所需的安全成本和资源也成倍增长。针对信息安全问题的特点，从管理、技术、法规等方面积极寻求解决措施和手段对其进行综合治理，是目前解决信息安全问题的务实选择，也是世界各国普遍奉行的安全策略。

当前信息安全管理的内涵，较之过去偏重技术的信息安全概念已有相当大的变化，究其原因，是因为人们对信息系统的依赖性或依赖程度有了质的变化，信息安全内涵从过去单纯应对威胁拓展到既要应付威胁，又要追求质量和效益。然而，在当今复杂的、分布的、异构的信息系统环境下，无论采取多么完善的信息安全手段都难以达到绝对的安全，风险总会存在，因而很难采取风险消除的方法实现完备的安全性。适宜的方法是将基于风险的安全理念引入保障信息安全的过程中，对整个组织或业务系统进行风险管理。

相对于以前非黑即白的信息安全处理方法，信息安全风险管理的核心特点是：接受风险，承认风险事件必然会发生，但是风险可控。例如，攻击者非法获取访问权限造成对信息或服务等损害甚至破坏，但发生的频率及产生后果的严重程度将被限制和控制在可承受的范围。风险管理体现了对组织或业务系统信息安全的动态管理，是一个连续的过程，其最终目的是采用整体性的安全措施集合，即特定的安全方案，缓解和平衡资产与风险这一对矛盾，将风险降低至可接受的程度，而非完全消除风险。在风险管理的前提下，信息安全不必是完美无缺的，但必须是充分满足需求的，是实现“充分安全”的；风险不必完全被消除（风险是无法彻底消除的），但必须是能够被管理和控制的，是最终位于可接受阈值之内的。信息安全风险管理的目标是保持信息系统的基本安全特性，包括保密性、完整性、可用性、真实性和抗抵赖性等，达到所需的安全保障级别。同时，信息安全不再是人们对威胁和风险的被动的、“响应性”行为的结果，而是一种主动的、“前瞻式”管理决策的结果，从而使得信息安全保障的防御前沿大大提前，并以一种主动的、未雨绸缪的方式实现防患于未然。风险管理是信息安全的必然选择，最佳的组织或业务系统信息安全保障方式就是运用风险管理的手段和方法管理风险。通过信息安全风险管理，一是在信息安全保障体系的技术、组织和管理等方面引入风险管理的思想和措施，准确评估风险，合理处理风险，实现信息安全保障的目标；二是在信息系统生命周期的规划、设计、实施、运维和废弃各阶段引入信息安全风险管理的思想和措施，解决信息系统各阶段面临的风险问题。

1.2.3.2 信息安全风险管理过程

信息安全风险管理的过程是通用风险管理过程在信息安全领域的实例化，包括环境建立、风险评估、风险处置、风险接受、监视与评审、沟通与咨询六个方面的内容。环境建立、风险评估、风险处置和风险接受是信息安全风险管理的四个基本步骤，监视与评审、沟通与咨询则贯穿于这四个基本步骤中，如图1-3所示。

第一步是环境建立，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析。第二步是风险评估，针对确立的风险管理对象所面临的风险进行识别、分析和评价。第三步是风险处置，依据风险评估的结果，选择并执行合适的安全措施来更改风险的过程。第四步是风险接受，确保残余风险被组织的管理者明确地接受。在诸如由于成本而省略或推迟实施控制措施的情况下，这点尤其重要。当风险管理对象的业务目标和特性发生变化或面临新的风险时，需要再次进入上述四个步骤，形成新的循环。监视与评审包括对上述四个主体步骤的监视与评审。监视是定期或不定期地对风险管理过程的运行情况进行查看，了解风险管理过程的执行情况，评审是对监视的结果进行分析和评价，从而确定风险管理过程的有效性。沟通与咨询为上述四个步骤中的相关方提供沟通与咨询。沟通与咨询是通过相关方之间交换和共享关于风险的信息、就如何管理风险达成一致的活动。其中，咨询是在需要时为相关方提供学习途径，以提高参与人员的风险防范意识、知识和技能，保持参与人员之间的协调一致，共同实现安全目标。环境建立、风险评估、风险处置、风险接受、监视与评审、沟通与咨询构成了一个螺旋式上升的循环，使得风险管理对象在自身和环境的变化中能够不断应对新的安全需求和风险。

1.2.3.3 信息安全风险管理发展概况

1.国际信息安全风险管理发展

信息安全风险管理理论和实践的发展大体上经过了以下三个阶段[2]。

1）20世纪60年代至80年代中期，起步阶段

20世纪60年代，随着资源共享计算机系统和早期计算机网络的出现，计算机安全问题初步显露。1967年11月，接受美国国防科学委员会的委托的，美国多个科研机构和企业开始着手研究计算机安全问题，进行了历时两年半的、美国历史上第一次大规模的、主要对当时的大型机和远程终端进行的计算机安全风险评估，并于1970年初完成了一个长达数百页的机密报告《计算机安全控制》。该报告拉开了信息安全风险管理研究的序幕。

在此基础上，美国率先推出了首批关于信息安全风险管理及相关的安全评测标准。其中第一组标准是由美国国家标准局（NBS）制定的，包括FIPS PUB 31《自动数据处理系统物理安全和风险管理指南》（1974年）和FIPS PUB 65《自动数据处理系统风险分析指南》（1979年）等标准。

第二组标准是由美国防部于1983年后陆续制定的计算机系统安全评估系列标准，主要包括《可信计算机系统评估准则》《可信网络解释》《特定环境下的安全需求》等，总计约40多个各类标准。该系列中各个标准的文档分别采用不同颜色的封皮，俗称为“彩虹系列”。这一系列研究的开展和标准的出台，奠定了信息安全风险管理理论基础。

2）20世纪80年代末至90年代中期，初步成熟阶段

这一阶段，计算机系统形成了网络化的应用。1989年美国率先建立了计算机应急组织；1990年建立了信息安全事件应急国际论坛；1992年美国国防部制定了漏洞分析与评估计划；1994年美国国家安全局等组织构成的联合委员会明确提出，美国国家信息安全必须建立在风险管理的基础上；1995年9月至1996年4月，美国政府对美国国防系统的信息系统进行了大规模风险评估，于1996年5月发布了名为《信息安全：针对国防部的计算机攻击正构成日益增大的风险》的报告。

1990年，欧洲的英国、法国、德国、荷兰四国着手制定了共同的信息技术安全评估标准（ITSEC），强调要把信息系统使用环境中的威胁与风险纳入评估视野。加拿大也制定了本国的信息安全测评标准。1993年欧美六个国家又启动了建立安全评测标准（即后来的CC标准）的计划。其间英国自己还研发了基于风险管理的BS7799信息安全管理标准，澳大利亚和新西兰制定了共同的风险管理标准AS/NZS 4360：1995。此外，荷兰、德国、挪威等国也制定了相应的本国标准。所有这些标准，都强调风险评估和管理的重要性、基础性作用。

国际标准化组织于1996年着手制定了ISO/IEC 13335《信息技术—安全技术—信息安全管理指南》，它分成ISO/IEC 13335-1（ISO/IEC 13335-1：《IT安全的概念和模型》）、ISO/IEC 13335-2（ISO/IEC 13335-2：《IT安全管理和策划》）、ISO/IEC 13335-3（ISO/IEC 13335-3：《IT管理技术》）、ISO/IEC 13335-4（ISO/IEC 13335-4：《防护措施的选择》）、ISO/IEC 13335-5 （ISO/IEC 13335-5：《网络安全管理指南》）五个部分。

1997年12月，美国国防部发表了《信息技术安全认证和批准程序》（DITSCAP），成为美国涉密信息系统的安全评估和风险管理的重要标准和依据。这个阶段的风险管理理论和实践的特点是：从只注重单机安全转变到同时注重操作系统、网络和数据库的安全；试图通过对安全产品的质量保证和安全评测来保障系统安全。

3）20世纪90年代末至今，全球化发展阶段

由于20世纪90年代以来互联网、移动通信和跨国光缆的高速发展，各国原本局限于国内的信息网络迅速突破国土疆域的界限连成一体，一些发达国家的军事、政治、经济和社会活动对信息基础设施的依赖程度达到了空前的高度。与此同时，国际范围内出现了大规模黑客攻击，信息战的理论逐步走向成熟并成为一种新型的作战样式，信息安全问题成为世界各国面临的共同挑战。

在共同需求的驱动下，1999年国际标准组织（ISO）发布了ISO/IEC 15408《信息技术—安全技术—信息技术安全性评估共同准则》。2000年又发布了ISO/IEC 17779：2000 《信息技术—信息安全管理实施规则》，提出了基于风险管理的信息安全管理体系及其构建步骤。这一阶段的信息系统风险管理特点是，风险管理已经成为一种通用的方法论和基础理论，并应用到广泛的信息安全实践工作之中。

纵观国际情况，信息安全风险管理经历了一个从只重技术到技术与管理并重，从单机到网络再到信息系统基础设施，从关注单一安全属性到关注多种安全属性的发展过程，当前还处在不断深化完善之中。

2.我国信息安全风险管理发展

我国的信息安全管理工作是随着对信息安全问题的认识的逐步深化而不断发展的[3]。早期的信息安全工作中心是信息保密，通过保密检查来发现信息处理流程中的问题并改进提高。

20世纪80年代后，随着计算机的推广应用，随即提出了计算机安全的问题，开展了计算机安全检查工作。

20世纪90年代后，随着互联网在我国得到了广泛的社会化应用，国际上的信息安全问题和信息战的威胁直接在我国的信息环境中有所反映。1994年2月颁布的《中华人民共和国计算机信息系统安全保护条例》提出了计算机信息系统实行安全等级保护的要求。其后，在有关部门的组织下，不断开展了有关等级保护评价准则、安全产品的测评认证、系统安全等级划分指南的研究，初步提出了一系列相关技术标准和管理规范。信息安全的风险意识也开始建立，并逐步有所加强。

2003年7月，国家信息化领导小组召开了第三次会议，讨论了信息安全问题。会议审议通过了《关于加强信息安全保障工作的意见》，并且明确提出了要重视信息安全风险评估工作的要求。

近年来国内对信息安全风险管理的研究进展较快，方法也在不断改进。具体方法也从早期简单的漏洞扫描、人工审计、渗透测试等单一类型的纯技术操作，逐渐过渡到目前普遍采用OCTAVE等系统化的方法，并参照NIST SP 800-26 《IT系统安全自评估指南》、NIST SP 800-30《IT系统风险评估实施指南》（简称NIST SP 800-30）、GB/T 31509—2015《信息安全技术 信息安全风险评估实施指南》（简称GB/T 31509）等国内外标准，充分发挥信息安全管理在维护我国信息安全中的作用。