引言

一個機構要利用其擁有的資源來完成其使命。在信息時代，信息成為第一戰略資源，更是起著至關重要的作用。因此，信息資產的安全是關系到該機構能否完成其使命的大事。資產與風險是天生的一對矛盾，資產價值越高，面臨的風險就越大。信息資產有著與傳統資產不同的特性，面臨著新型風險。信息安全風險管理的目的就是要緩解并平衡這一對矛盾，將風險控制到可接受的程度，保護信息及其相關資產，最終保證機構能夠完成其使命。
信息安全風險管理是信息安全保障工作中的一項基礎性工作，主要表現在以下幾方面：
信息安全風險管理的思想和措施應體現在信息安全保障體系的技術、組織和管理等全方位。由于在信息安全保障體系的技術、組織和管理等方面都存在著相關風險，因此，在信息安全保障體系中，技術、組織、管理中均應引入風險管理的思想，準確的評估風險并合理的處理風險，共同實現信息安全保障的目標。
信息安全風險管理的思想和措施應貫穿于信息系統生命周期的全部過程。信息系統生命周期包括規劃、設計、實施、運維和廢棄五個階段。每個階段都存在著相關風險，同樣需要采用信息安全風險管理的思想加以應對，風險管理的措施加以控制。
信息安全風險管理的思想和措施是貫徹信息安全等級保護制度的有力支撐。信息安全風險管理依據信息安全等級保護的思想和原則，區分主次，平衡成本與效益，合理部署和利用信息安全的保護機制、信任體系、監控體系和應急處理等重要的基礎設施，選擇并確定合適的安全控制措施，從而保證機構具有完成其使命所需要的信息安全保障能力。
為落實國家加強信息安全保障工作的要求，為實施信息安全等級保護制度的需要，制定本標準。本標準可與GB/T20984《信息安全技術 信息安全風險評估規范》標準結合使用，并可作為機構建立信息安全管理體系（ISMS）的參考。
本標準參考了ISO/IEC 27005等國際信息安全風險管理的相關標準，并經過國家有關行業和地區的試點驗證。標準針對信息安全風險管理所涉及的背景建立、風險評估、風險處理、批準監督、監控審查、溝通咨詢等不同過程進行了綜合性描述和規范，對信息安全風險管理在信息系統生命周期各階段的應用作了系統闡述。
本標準條款中所指的“風險管理”，其含義均為“信息安全風險管理”。
本標準中列出的帶書名號的文檔是示范性的，其格式和詳細內容未作規范。