1.4.2 信息安全风险评估的现状

风险评价技术起源于20世纪30年代，当时美国的保险公司为客户承担各种风险，必须收取一定的保险费用，而收取费用的多少是由所承担的风险大小决定的。因此，就产生了一个衡量风险程度的问题。美国保险协会在衡量风险程度的过程中便产生了风险评价，并推广到企业界。

20世纪50年代末发展起来的系统安全工程推动了风险评价技术的发展。日本引进风险管理及系统安全工程的方法虽然较晚，但发展很快，已经在电子、航空、铁路、公路、原子能、汽车、化工和冶金等领域大力开展了研究与应用。

风险评估这个术语正式面世及这个方法正式形成一个系统是在1976年美国国家环保局首次颁布了“致癌物风险评估准则”。1983年，美国国家科学院发布了题为《联邦政府的风险评估管理》的报告，确认了这一方法。20世纪80年代，美国国家环保局颁布了多个与风险评估有关的规范和准则。20世纪80年代以来，美国食品及药品监督管理局（FDA）、世界卫生组织（WHO）及联合国环境规划署（UNEP）等一系列机构与国际组织颁布了与风险评价有关的规范和准则，使风险评估技术迅速发展并在世界范围内得到广泛应用。

虽然美国引领了网络和信息技术的发展，但是目前影响最广泛的网络和信息安全方面的标准ISO/IEC 17799：2005（其前身是BS 7799第一部分，全称是Code of Practice for Information Security，也即为信息安全管理实施细则）却来自英国，并被大多数国家认可和使用。目前通常所说的ISO 27001和ISO 27002，其前身分别是BS 7799第二部分和BS 7799第一部分。

信息安全评估涉及方方面面，安全标准也十分庞杂，各种评估标准的侧重点也不一样，比如《信息技术安全性评估准则（CC）》和《美国国防部可信计算机评估准则（TCSEC）》等更侧重于对系统和产品的技术指标的评估；《系统安全工程能力成熟模型（SSE-CMM）》更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。ISO/IEC 17799（也就是ISO 27001和ISO 27002）在对信息系统日常安全管理方面具有无法取代的地位，因此，目前国外很多企业接受ISO 27001：2005（BS 7799-2）的认证，即信息安全管理体系认证证书。

国内的情况比较简单，由于关于安全风险评估研究的起步较晚，目前国内整体处于起步和借鉴阶段，在安全风险评估的标准研究上还处于跟踪国际标准的初级探索阶段。国家质量技术监督局于2001年依据国际标准CC颁布了GB/T 18336《信息技术安全技术信息技术安全性评估准则》，相关的标准还有依据美国的TCSEC及红皮书于1999年发布的GB17859《计算机信息系统安全保护等级划分准则》，以及我国专门针对信息系统安全风险评估制定的标准《信息安全技术信息安全风险评估规范》（GB/T20984—2007）和《信息安全风险管理指南》。 E0fzOUAncZ3vtpmfH6wdKZWAl3UlINMvcbGTmzGJZAEecQNapCCEJ97VLtZRMUw4