本书从国内外风险评估发展状况、信息安全政策法规、风险评估理论方法、管理框架与流程以及实践与探索的经验等方面，系统和科学地阐述信息安全风险评估这一系统工程管理方法，为在我国全面推进信息安全风险评估工作提供切实可行的业务指导。 本书主要面向信息化建设管理者与工程技术人员，同时可为信息安全管理决策者提供参考。可用作行业、省市信息安全风险评估培训教材，也可作为高校和科研院所教学科研工作的参考用书。

中国有一个成语叫“化险为夷”，意思是使危险的情况或处境变为平安。要做到这一点，一个基本的前提，就是要意识到“险”的存在。察觉到了“险”，才有可能去“化”；如果根本就感觉不到“险”的存在，其结果一定是“险”成为现实，造成损失。风险评估，就是一种对潜在的风险进行“主动意识”，从而为“防险”或“化险”采取的措施提供依据。 今天，人类已经昂首阔步迈进了信息社会。有人说，我们可能不需要阳光，但绝对离不开信息。信息已经渗透到了人类社会的每一个角落，融入了人们生活的每一个细节。无处不在的信息孕育着无处不在的风险。很难想象，如果银行系统的信息发生错乱，我们将面临怎样的金融混乱；如果核武器控制系统发生信息错误，我们将面临怎样的灭顶之灾……因此，在信息社会中，对信息安全存在的风险进行评估将有着至关重要的作用。只有有效评估了信息系统面临的安全风险，才能充分掌握信息系统安全状态，并有针对性地采取风险控制措施，使信息安全风险处于可控制的范围内。信息安全风险评估适用于信息系统全生命周期，为信息系统的安全建设、稳定运行和改造提升提供重要依据，并是信息系统安全等级确定过程中的一种不可或缺的技术手段。 信息安全是一个动态的复杂过程，它贯穿于信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外联合进行的破坏以及自然危害，因此必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资产进行分析，并依据风险评估的结果为信息系统选择有针对性的安全措施，规避、转移和降低风险，妥善应对可能发生的风险，并将风险控制在可接受的范围内。本书共分4章：第1章为信息安全风险评估发展状况，主要介绍国内外信息安全...