第1章 概述

在半个世纪以来的全球信息化浪潮中，信息技术成为推动社会发展、促进世界经济增长的重要动力。但是，信息技术在成为新的经济发展驱动力的同时，也为整个社会带来了信息安全风险问题。面对严峻的信息安全威胁形势，信息安全学科应运而生。针对信息安全问题的特点，人们经过反复的思索和实践，将风险管理的理念引入信息安全中，其核心思想是从决定性的思维方式转换为适应现代社会发展的不确定性的、相关性、整体性思维方式，从系统工程的角度对信息安全风险进行管理与控制。在综合考虑成本、组织的风险承受能力等各种因素的前提下，通过建立风险管理模型，对信息系统所面临的风险进行识别、评估与控制，将风险带来的损失降到最小，并以此指导管理者制定正确的、有效的安全管理策略。实践证明，信息安全风险管理方法的采用，能够显著提高组织的整体信息安全水平、抵御日益严重的信息安全威胁，为组织开展业务、创造价值保驾护航。

本章我们将从“风险”这个最基本概念开始，向读者介绍信息安全风险管理的基本理论、基本方法和演变过程。