标准是科学、技术和实践经验的总结，是人类社会有序、高效运转的基础。在信息安全领域、风险管理领域有许多标准。由于信息技术发展的快速性，这些标准也在不断完善和发展之中。本章主要介绍风险管理、信息安全风险管理、风险评估等方面的国际标准和国家标准。这些标准是从事风险管理的基础，也是进行风险管理的行为准则。本章首先介绍制定风险管理相关标准的组织机构，包括国际标准化组织、部分国家的标准化组织、中国的标准化组织；接着介绍国际标准化组织制定的风险管理标准体系的ISO 31000家族，重点介绍ISO 31000：2018主要内容及其与ISO 31000：2009的差异；之后介绍专门针对信息安全风险管理的国际标准ISO/IEC 27005《信息技术—安全技术—信息安全风险管理》（简称ISO/IEC 27005）；最后介绍我国的信息安全风险评估规范GB/T 20984。 mGdCtk4x3iuWwLlDiSnhl8UuvEtI6kXB8srfzaecD+k8tqoq3UM0wvV3mIWhUZOP