引??言

信息安全風險管理是信息安全保障工作中的一項重要基礎性工作，其核心思想是對管理對象面臨的信息安全風險進行管控。信息安全風險管理工作貫穿于信息系統生命周期（規劃、設計、實施、運行維護和廢棄）的全過程，主要工作過程包括風險評估和風險處理兩個基本步驟。風險評估是對風險管理對象所面臨的風險進行識別、分析和評價的過程。風險處理是依據風險評估的結果，選擇和實施安全措施的過程。

為指導各類組織規范性地開展信息安全風險處理，在GB/T 20984-2007《信息安全技術 信息安全風險評估規范》、GB/Z 24364-2009《信息安全技術 信息安全風險管理指南》和《信息安全技術 信息安全風險評估實施指南》（報批稿）的基礎上，本標準針對風險評估工作中反映出來的各類信息安全風險，從風險處理工作的組織、管理、流程、評價等方面給出了相關描述，用于指導組織形成客觀、規范的風險處理方案，促進風險管理工作的完善。