第4章 信息安全风险管理

信息安全管理的最终目标是将系统（管理对象）的安全风险降低到用户可接受的程度，保证系统的安全运行和使用。风险的识别和评估是信息安全管理的基础，风险的控制是信息安全管理的目的，从这个意义上讲，信息安全管理实际上是风险管理的过程。而根据信息安全风险的组成要素，制定科学的信息安全风险管理标准，建立合适的信息安全风险管理模型，是对信息系统组织实施风险管理的基础和关键。

本章主要介绍信息安全风险管理概述、信息安全风险管理标准：AS/NZS 4360:1999、NIST SP800-30、The Security Risk Management Guide、GB/T 20269-2006。