摘要：无论是政府机构，还是企业组织，存在的目的都是为其利益相关方带来价值。所面临的挑战是在追求利益相关方价值增长的同时，随时准备接受不确定性。

　　一段时间以来，在信息安全理论和技术的发展过程中，信息安全风险管理理论和方法一直是人们普遍接受的信息安全问题解决思路，随着信息安全等级保护工作的全面展开，人们疑惑信息安全等级保护制度与以往信息安全风险管理之间的关系，其实，信息安全等级保护制度就是带有中国特色的国家信息安全风险管控行为。
　　
　　不确定性既代表风险，也代表机遇，对不确定性的管理，就是对风险的管理。现代风险管理理论产生于西方国家，它是为制定有效的经济发展战略和市场竞争策略而创造的一种理论和方法。风险管理理论由于它的广泛适用性，现已被各个国家用于社会发展、经济建设、公共安全和信息安全诸多领域。
　　
　　风险管理理论应用于信息安全领域始于20世纪60年代，当时随着资源共享计算机系统和早期计算机网络的出现，计算机安全问题初步显露，20世纪90年代由于互联网、移动通信和跨国光缆的高速发展，信息安全成为世界各国面临的共同挑战，与此同时风险管理理论和方法获得了迅速的发展。
　　
　　1996年国际标准组织发布了ISO/IEC13335标准即《信息技术安全管理指南》。1999年发布了ISO/IEC15408标准即《信息技术安全评估共同准则》（CC标准）。2000年又发布了ISO/IEC177799即《信息技术信息安全管理实用规则》，其中ISO/IEC13335提出了最早的普遍被人们接受的信息安全风险管理理论和方法。
　　
　　责任编辑：Honey