为贯彻落实全国信息安全保障工作会议精神，根据采取必要措施进行信息安全风险防范的工作要求，制定本标准。

　    本标准针对信息安全风险管理所涉及的对象确立、风险评估、风险控制、审核批准、沟通咨询等不同过程进行了综合性描述和规范，对信息安全风险管理在信息系统生命周期各阶段的应用作了系统阐述。

　　本标准适用于信息安全保障体系建设中进行风险管理的有关组织和人员。也可为组织内部进行信息安全风险管理提供指导和参考。

　　本标准可与国家其他相关标准结合使用。

　　本标准包括以下一个标准文本：

　　《信息安全风险管理指南》

　　本标准由国务院信息化工作办公室提出。

　　本标准由国务院信息化工作办公室归口。

　　本标准起草单位：国家信息中心信息安全研究与服务中心、国家保密技术研究所、中科院信息安国家重点实验室、公安部三所等级保护评估 中心、北京市测评认证中心、北京清华得实科技股份有限公司、凝瑞、山东科飞管理咨询有限公司、北京天融信网络安全技术有限公司、北京思乐信息技术有限公 司、安氏互联网安全系统（中国）有限公司。

　　本标准主要起草人：范红、闵京华、屈薇、李文生、李双成、王毅刚、孙铁、马朝斌、张玉清、孙涛、高志民。

　　我们特别感谢在本标准起草过程中做出了重要贡献的人员，他们是：国信办贾颖禾研究员、解放军测评认证中心崔书昆研究员、中科院信息 安全国家重点实验室赵战生教授、公安部十一局景乾元处长、国家保密技术研究所杜虹所长、国家信息中心宁家骏首席工程师、国家信息中心信息安全研究与服务中 心吴亚非主任。