2.4.1 我国信息安全风险评估发展历程

我国的信息化建设起步较晚。2003年7月，国务院信息化工作办公室（以下简称国信办）委托国家信息中心牵头组建“信息安全风险评估课题组”，提出将信息安全风险评估工作作为提高我国信息安全保障水平的重要举措。课题组对我国信息安全风险评估工作现状进行了全面深入的了解，提出开展信息安全风险评估的对策和办法。先后完成了《信息安全风险评估调查报告》《信息安全风险评估研究报告》和《关于加强信息安全风险评估工作建议的报告》三份报告。

2004年1月，全国信息安全保障工作会议在北京召开。会议将信息安全风险评估列为我国信息安全保障体系建设要抓的五项基础性工作之一。2004年3月，国信办启动风险评估相关标准的制定工作。同年9月完成《信息安全风险评估指南》和《信息安全风险管理指南》两个国家标准草稿。

2005年2月，国信办启动信息安全风险评估试点工作，成立了风险评估试点工作领导小组、专家组和文件起草组。2005年7月，基本完成了《信息安全风险评估规范》标准草案。同年，在有关主管部门具体指导和支持下，由国家信息技术安全研究中心、中国信息安全测评中心等多家国家指定的专业检测机构承担，组织开展了信息安全风险评估试点工作，并取得了很好的效果。2005年9月，国信办在上海召开的总结大会上对试点工作的成绩给予高度评价。

2006年1月，国信办发布《关于开展信息安全风险评估工作的意见》。意见明确了信息安全风险评估工作的内容、原则、基本要求和有关安排，标志着我国信息安全领域一项基础性、全局性工作正式启动。

在前期一系列工作的基础上，2007年6月，国家标准化管理委员会颁布国家标准：GB/T 20984—2007《信息安全技术 信息安全风险评估规范》，为政府部门、金融机构等国家信息网络基础设施和重要信息系统提供信息安全风险评估指南。信息安全风险评估工作在全国范围内全面展开。

2017年6月1日，《中华人民共和国网络安全法》实施。其中第二章第十七条指出：“国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。风险评估以法律的形式明确下来。

随着技术的发展和普及，GB/T 20984—2007已无法充分满足信息安全需求，无法全面评价信息安全风险。为了提出有针对性的抵御威胁的防护对策和整改措施，防范和化解信息安全风险，将风险控制在可接受的水平，2018年国家标准化管理委员会启动了对GB/T 20984—2007的修订。相较于2007版，GB/T 20984的修订版不仅包含了风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程，还提出了基于业务、面向信息系统生命周期（规划、设计、实施、运行维护和废弃）的风险评估方法，分析了业务及支撑的信息系统所面临的威胁及其存在的脆弱性，全面评估安全事件造成的危害程度。

风险评估是风险管理的重要组成部分。我国在制定适合我国国情的风险评估规范的同时，也参考国际标准制定了一系列与风险管理相关的标准，表2-2列出了部分标准。