中国有一个成语叫“化险为夷”，意思是使危险的情况或处境变为平安。要做到这一点，一个基本的前提，就是要意识到“险”的存在。察觉到了“险”，才有可能去“化”；如果根本就感觉不到“险”的存在，其结果一定是“险”成为现实，造成损失。风险评估，就是一种对潜在的风险进行“主动意识”，从而为“防险”或“化险”采取的措施提供依据。

今天，人类已经昂首阔步迈进了信息社会。有人说，我们可能不需要阳光，但绝对离不开信息。信息已经渗透到了人类社会的每一个角落，融入了人们生活的每一个细节。无处不在的信息孕育着无处不在的风险。很难想象，如果银行系统的信息发生错乱，我们将面临怎样的金融混乱；如果核武器控制系统发生信息错误，我们将面临怎样的灭顶之灾……因此，在信息社会中，对信息安全存在的风险进行评估将有着至关重要的作用。只有有效评估了信息系统面临的安全风险，才能充分掌握信息系统安全状态，并有针对性地采取风险控制措施，使信息安全风险处于可控制的范围内。信息安全风险评估适用于信息系统全生命周期，为信息系统的安全建设、稳定运行和改造提升提供重要依据，并是信息系统安全等级确定过程中的一种不可或缺的技术手段。

信息安全是一个动态的复杂过程，它贯穿于信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外联合进行的破坏以及自然危害，因此必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资产进行分析，并依据风险评估的结果为信息系统选择有针对性的安全措施，规避、转移和降低风险，妥善应对可能发生的风险，并将风险控制在可接受的范围内。本书共分4章：第1章为信息安全风险评估发展状况，主要介绍国内外信息安全风险评估发展的历史和现状；第2章为信息安全风险评估理论与方法，主要介绍风险评估的概念、原理、模型、流程、计算理论和操作工具等；第3章为信息安全风险管理框架与流程，主要介绍基于风险评估的风险管理的组织部分与实施流程；第4章为信息安全风险评估实践应用案例，在上述各部分内容介绍的基础上为风险评估实施提供了4个实践案例，用于指导实践。

本书是作者长期从事理论研究与科研实践的成果，书中汲取了大量国内外现有文献的精华，为适应不同层次和不同专业读者的需求，作者在结构、内容等方面都做了精心的安排，旨在使信息安全风险评估作为一项科学的方法真正能够为大众所接受、理解和运用。

作者

2006年3月