序言

人类社会进入21世纪以来，互联网信息技术高速发展，信息资源成为新的生产要素，新一轮的信息技术革命和产业变革交融发展，信息经济成为新的经济引擎，互联网信息安全关系国家主权，成为新的国家安全挑战。没有网络安全就没有国家安全，没有信息化就没有现代化。面对纷繁复杂的国际形势、日新月异的技术革新，抓住历史机遇，筑牢国家网络安全屏障，建设网络强国，实现中华民族伟大复兴的中国梦成为网络安全从业者的使命和责任。

网络空间的竞争，归根结底是人才的竞争。2017年6月，《中华人民共和国网络安全法》正式实施，明确要采用多种方式支持和培养网络安全人才。培养网络安全人才已经成为我国网络信息化事业建设的一项战略性、全局性和长期性任务，培养锻造一支技术过硬的网络安全人才队伍是网络强国的必由之路。

中国网络安全审查技术与认证中心于2011年正式推出信息安全保障人员认证（CISAW），经过不断发展完善，目前已形成预备级、基础级、专业级、专业高级四个等级，近二十个专业方向和行业领域的信息安全保障人员认证体系，赢得了众多国家部委、地方政府、行业领头企业的认可，为国家培养了一大批网络安全专业人才。近年来，新时期网络空间安全工作的推进、网络安全制度体系的建立和网络安全标准的修订对网络安全人才培养提出了新的更高的要求。为此，本书编写组编写了《信息安全风险管理与实践》一书。本书紧扣信息安全风险管理主线，涵盖了信息安全风险管理的各个环节，并依据最新颁布的国际和国家标准，结合信息安全风险管理最佳实践，对相关课程内容进行了大规模的修订完善和补充调整，以满足IT从业者和人员培训认证的学习需要，帮助从事网络安全技术岗位和管理岗位的人员提升信息安全风险管理能力。

本书从风险管理的原则、框架和过程，到风险评估的物理、网络、系统、应用和数据的脆弱性识别，渐次展开，层层递进，既考虑到技术人员，又照顾到管理人员，既传播知识，又教授技能，以提高专业人员的基本素质和能力水平，适应不断变化的网络安全新挑战。

希望本书的出版，能为广大网络安全保障从业者学习、工作和申请认证提供指导和帮助。我们网络安全从业者也时刻践行保障国家网络安全的使命初心，始终做到初心如磐、使命在肩。

魏昊
中国网络安全审查技术与认证中心 HCz/bmr0KSCPqlOFXcnsfhdHmfpjsSDSPYG9B2X0a9hRKSvIWlhIlyN6rVfh7WKQ