摘要:无论是政府机构,还是企业组织,存在的目的都是为其利益相关方带来价值。所面临的挑战是在追求利益相关方价值增长的同时,随时准备接受不确定性。 |
不确定性既代表风险,也代表机遇,对不确定性的管理,就是对风险的管理。现代风险管理理论产生于西方国家,它是为制定有效的经济发展战略和市场竞争策略而创造的一种理论和方法。风险管理理论由于它的广泛适用性,现已被各个国家用于社会发展、经济建设、公共安全和信息安全诸多领域。
风险管理理论应用于信息安全领域始于20世纪60年代,当时随着资源共享计算机系统和早期计算机网络的出现,计算机安全问题初步显露,20世纪90年代由于互联网、移动通信和跨国光缆的高速发展,信息安全成为世界各国面临的共同挑战,与此同时风险管理理论和方法获得了迅速的发展。
1996年国际标准组织发布了ISO/IEC13335标准即《信息技术安全管理指南》。1999年发布了ISO/IEC15408标准即《信息技术安全评估共同准则》(CC标准)。2000年又发布了ISO/IEC177799即《信息技术信息安全管理实用规则》,其中ISO/IEC13335提出了最早的普遍被人们接受的信息安全风险管理理论和方法。
责任编辑:Honey