信息安全風(fēng)險(xiǎn)管理理論

關(guān)于信息安全風(fēng)險(xiǎn)管理

理論與實(shí)踐發(fā)展的一些思考XXXXX年X月XX日關(guān)于信息安全風(fēng)險(xiǎn)管理理論與實(shí)踐發(fā)展的一些思考一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求三、信息安全風(fēng)險(xiǎn)管理上存在的問(wèn)題只能靠信息安全實(shí)踐來(lái)解決關(guān)于信息安全風(fēng)險(xiǎn)管理理論與實(shí)踐發(fā)展的一些思考一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求三、信息安全風(fēng)險(xiǎn)管理上存在的問(wèn)題只能靠信息安全實(shí)踐來(lái)解決一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐風(fēng)險(xiǎn)管理（Riskmanagement）包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制等內(nèi)容。

國(guó)外許多專家認(rèn)為，風(fēng)險(xiǎn)管理是信息安全的基礎(chǔ)工作和核心任務(wù)之一，是最有效的一種措施，是保證信息安全投資回報(bào)率優(yōu)化的科學(xué)方法?，F(xiàn)代風(fēng)險(xiǎn)管理理論產(chǎn)生于西方資本主義國(guó)家，它是為制定有效的經(jīng)濟(jì)發(fā)展戰(zhàn)略和市場(chǎng)競(jìng)爭(zhēng)策略而創(chuàng)造的一種理論、方法和措施。一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐風(fēng)險(xiǎn)管理理論由于它的廣泛適用性、現(xiàn)已應(yīng)用于各國(guó)社會(huì)與經(jīng)濟(jì)發(fā)展、國(guó)家建設(shè)、國(guó)家安全、公共安全和信息安全諸多領(lǐng)域。風(fēng)險(xiǎn)管理理論應(yīng)用于信息安全領(lǐng)域始于20世紀(jì)60年代。此后，信息安全風(fēng)險(xiǎn)管理的實(shí)踐和理論的發(fā)展大體上經(jīng)過(guò)了三個(gè)階段：一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（一）、20世紀(jì)60年代至80年代是信息安全風(fēng)險(xiǎn)管理實(shí)踐與理論發(fā)展的初期階段（二）、20世紀(jì)80年代末至90年代中期是信息安全風(fēng)險(xiǎn)管理實(shí)踐和理論走向初步成熟的階段（三）、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)踐與理論進(jìn)入第三個(gè)階段，即全球化階段一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（一）、20世紀(jì)60年代至80年代是信息安全風(fēng)險(xiǎn)管理實(shí)踐與理論發(fā)展的初期階段

20世紀(jì)60年代，隨著資源共享計(jì)算機(jī)系統(tǒng)和早期計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)，計(jì)算機(jī)安全問(wèn)題初步顯露。1967年秋，美國(guó)國(guó)防部委托蘭德公司為首的多個(gè)研究機(jī)構(gòu)和企業(yè)，進(jìn)行了美國(guó)歷史上第一次大規(guī)模的計(jì)算機(jī)安全風(fēng)險(xiǎn)評(píng)估，歷時(shí)三年。1970年初出版了一個(gè)長(zhǎng)達(dá)數(shù)百頁(yè)的機(jī)密報(bào)告《計(jì)算機(jī)安全控制》。該報(bào)告奠定了國(guó)際安全風(fēng)險(xiǎn)評(píng)估的理論基礎(chǔ)。一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（一）、20世紀(jì)60年代至80年代是信息安全風(fēng)險(xiǎn)管理實(shí)踐與理論發(fā)展的初期階段

在此基礎(chǔ)上，美國(guó)率先推出了首批關(guān)于信息安全風(fēng)險(xiǎn)管理及相關(guān)的安全評(píng)測(cè)標(biāo)準(zhǔn)。其中：第一組標(biāo)準(zhǔn)是由國(guó)家標(biāo)準(zhǔn)局(NBS)制定的，如：FIPSPUB31自動(dòng)數(shù)據(jù)處理系統(tǒng)物理安全和風(fēng)險(xiǎn)管理指南（1974年）。FIPSPUB65自動(dòng)數(shù)據(jù)處理系統(tǒng)風(fēng)險(xiǎn)分析指南（1979年）一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（一）、20世紀(jì)60年代至80年代是信息安全風(fēng)險(xiǎn)管理實(shí)踐與理論發(fā)展的初期階段

第二組是由美國(guó)國(guó)防部國(guó)家安全局于1983年后陸續(xù)制定的計(jì)算機(jī)系統(tǒng)安全評(píng)估系列標(biāo)準(zhǔn)，主要包括《可信計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則》(TCSEC）、《可信網(wǎng)絡(luò)解釋》（TNI）、《特定環(huán)境下的安全需求》等等，總計(jì)約40來(lái)個(gè)各類標(biāo)準(zhǔn)。由于每個(gè)標(biāo)準(zhǔn)用不同顏色的封皮，俗稱為“彩虹系列”。一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（一）、20世紀(jì)60年代至80年代是信息安全風(fēng)險(xiǎn)管理實(shí)踐與理論發(fā)展的初期階段

這套標(biāo)準(zhǔn)建立在風(fēng)險(xiǎn)評(píng)估理論基礎(chǔ)上。該系列中《安全需求技術(shù)原理》標(biāo)準(zhǔn)指出：“評(píng)估一個(gè)計(jì)算機(jī)系統(tǒng)的安全級(jí)別依賴于該系統(tǒng)存在的風(fēng)險(xiǎn)水平，即風(fēng)險(xiǎn)因子（RISKINDEX）”，“還存在影響安全風(fēng)險(xiǎn)的其他諸如任務(wù)關(guān)鍵性、所需拒絕服務(wù)保護(hù)和威脅的嚴(yán)重性等因素?！币?、信息安安全風(fēng)險(xiǎn)管管理理論來(lái)來(lái)源于信息息安全實(shí)踐踐（二）、20世紀(jì)80年代末末至90年年代中期是是信息安全全風(fēng)險(xiǎn)管理理實(shí)踐和理理論走向初初步成熟的的階段1989年年美國(guó)率先先建立了計(jì)計(jì)算機(jī)應(yīng)急急組織，次次年，建立立了信息安安全事件應(yīng)應(yīng)急國(guó)際論論壇（FIRST））。1992年年美國(guó)國(guó)防防部建立了了漏洞分析析與評(píng)估計(jì)計(jì)劃。1994年年美國(guó)國(guó)家家安全局等等組織構(gòu)成成的聯(lián)合委委員會(huì)明確確提出，美美國(guó)國(guó)家信信息安全必必須建立在在風(fēng)險(xiǎn)管理理的基礎(chǔ)上上。一、信息安安全風(fēng)險(xiǎn)管管理理論來(lái)來(lái)源于信息息安全實(shí)踐踐（二）、20世紀(jì)80年代末末至90年年代中期是是信息安全全風(fēng)險(xiǎn)管理理實(shí)踐和理理論走向初初步成熟的的階段1995年年9月至1996年年4月，美美國(guó)總審計(jì)計(jì)局為因應(yīng)應(yīng)國(guó)會(huì)“加加強(qiáng)信息安安全、降低低信息戰(zhàn)威威脅”的要要求，對(duì)美美國(guó)國(guó)防系系統(tǒng)的信息息系統(tǒng)進(jìn)行行了大規(guī)模模風(fēng)險(xiǎn)評(píng)估估，于1996年5月發(fā)表了了名為《信信息安全——針對(duì)國(guó)防防部的計(jì)算算機(jī)攻擊正正構(gòu)成日益益增大的風(fēng)風(fēng)險(xiǎn)》的報(bào)報(bào)告。1995年年12月美美國(guó)國(guó)防部部提出了信信息安全的的動(dòng)態(tài)模型型，即“防防護(hù)—監(jiān)測(cè)測(cè)—反應(yīng)””多環(huán)節(jié)保保障體系，，后通稱““PDR模模型”。1990年年，歐洲英英、法、德德、荷四國(guó)國(guó)著手制定定了共同的的信息技術(shù)術(shù)安全評(píng)估估標(biāo)準(zhǔn)（ITSEC），強(qiáng)調(diào)調(diào)要把信息息系統(tǒng)實(shí)用用環(huán)境中的的威脅與風(fēng)風(fēng)險(xiǎn)納入評(píng)評(píng)估視野。。加拿大也也制定了本本國(guó)的信息息安全測(cè)評(píng)評(píng)標(biāo)準(zhǔn)。一、信息安安全風(fēng)險(xiǎn)管管理理論來(lái)來(lái)源于信息息安全實(shí)踐踐（二）、20世紀(jì)80年代末末至90年年代中期是是信息安全全風(fēng)險(xiǎn)管理理實(shí)踐和理理論走向初初步成熟的的階段一、信息安安全風(fēng)險(xiǎn)管管理理論來(lái)來(lái)源于信息息安全實(shí)踐踐（二）、20世紀(jì)80年代末末至90年年代中期是是信息安全全風(fēng)險(xiǎn)管理理實(shí)踐和理理論走向初初步成熟的的階段1993年年歐美六個(gè)個(gè)國(guó)家又啟啟動(dòng)了建立立共同評(píng)測(cè)測(cè)標(biāo)準(zhǔn)（即即后來(lái)的CC標(biāo)準(zhǔn)））的計(jì)劃。。這個(gè)期間間英國(guó)自己己還研發(fā)了了基于風(fēng)險(xiǎn)險(xiǎn)管理的BS7799信息安安全管理標(biāo)標(biāo)準(zhǔn)，澳大大利亞和新新西蘭制定定了共同的的風(fēng)險(xiǎn)管理理標(biāo)準(zhǔn)AS/NES4360。此外，，荷蘭、德德國(guó)、挪威威等國(guó)也制制定了相應(yīng)應(yīng)的本國(guó)標(biāo)標(biāo)準(zhǔn)。所有有這些標(biāo)準(zhǔn)準(zhǔn)，都強(qiáng)調(diào)調(diào)風(fēng)險(xiǎn)評(píng)估估和管理的的重要性、、基礎(chǔ)性作作用。一、信息安安全風(fēng)險(xiǎn)管管理理論來(lái)來(lái)源于信息息安全實(shí)踐踐（二）、20世紀(jì)80年代末末至90年年代中期是是信息安全全風(fēng)險(xiǎn)管理理實(shí)踐和理理論走向初初步成熟的的階段1997年年12月，，美國(guó)國(guó)防防部發(fā)表了了《信息技技術(shù)安全認(rèn)認(rèn)證和批準(zhǔn)準(zhǔn)程序》（（DITSCAP）），成為美美國(guó)涉密信信息系統(tǒng)的的安全評(píng)估估和風(fēng)險(xiǎn)管管理的重要要標(biāo)準(zhǔn)和依依據(jù)。一、信息安安全風(fēng)險(xiǎn)管管理理論來(lái)來(lái)源于信息息安全實(shí)踐踐（三）、20世紀(jì)90年代末末，國(guó)際范范圍的風(fēng)險(xiǎn)險(xiǎn)管理實(shí)踐踐與理論進(jìn)進(jìn)入第三個(gè)個(gè)階段，即即全球化階階段由于90年年代以來(lái)因因特網(wǎng)、移移動(dòng)通信和和跨國(guó)光纜纜的高速發(fā)發(fā)展，各國(guó)國(guó)原本局限限于本國(guó)內(nèi)內(nèi)的信息網(wǎng)網(wǎng)絡(luò)迅速跨跨越國(guó)境連連成一片。。與此同時(shí)時(shí)，信息安安全也成為為世界各國(guó)國(guó)面臨的共共同挑戰(zhàn)。。一、信息安安全風(fēng)險(xiǎn)管管理理論來(lái)來(lái)源于信息息安全實(shí)踐踐（三）、20世紀(jì)90年代末末，國(guó)際范范圍的風(fēng)險(xiǎn)險(xiǎn)管理實(shí)踐踐與理論進(jìn)進(jìn)入第三個(gè)個(gè)階段，即即全球化階階段在共同需求求的驅(qū)動(dòng)下下，1996年國(guó)際際標(biāo)準(zhǔn)組織織發(fā)布了ISO/IECTR13335標(biāo)標(biāo)準(zhǔn)即《信信息技術(shù)安安全管理指指南》。1999年年發(fā)布了ISO/IEC15408標(biāo)標(biāo)準(zhǔn)即《信信息技術(shù)安安全評(píng)估共共同準(zhǔn)則》》（CC標(biāo)標(biāo)準(zhǔn)）。2000年年又發(fā)布了了ISO/IEC177799即《信信息技術(shù)信信息安全管管理實(shí)用規(guī)規(guī)則》。一、信息安安全風(fēng)險(xiǎn)管管理理論來(lái)來(lái)源于信息息安全實(shí)踐踐（三）、20世紀(jì)90年代末末，國(guó)際范范圍的風(fēng)險(xiǎn)險(xiǎn)管理實(shí)踐踐與理論進(jìn)進(jìn)入第三個(gè)個(gè)階段，即即全球化階階段國(guó)際標(biāo)準(zhǔn)的的出臺(tái)，反反過(guò)來(lái)又推推動(dòng)了各國(guó)國(guó)自身風(fēng)險(xiǎn)險(xiǎn)管理標(biāo)準(zhǔn)準(zhǔn)研發(fā)的進(jìn)進(jìn)程。例如如美國(guó)，從從90年代代末開始，，在風(fēng)險(xiǎn)管管理相關(guān)標(biāo)標(biāo)準(zhǔn)的制定定上掀起了了一個(gè)新高高潮，僅NIST（（美國(guó)國(guó)家家標(biāo)準(zhǔn)與技技術(shù)局）近近幾年制定定的與風(fēng)險(xiǎn)險(xiǎn)管理相關(guān)關(guān)的標(biāo)準(zhǔn)就就達(dá)十多個(gè)個(gè)。一、信息安安全風(fēng)險(xiǎn)管管理理論來(lái)來(lái)源于信息息安全實(shí)踐踐（三）、20世紀(jì)90年代末末，國(guó)際范范圍的風(fēng)險(xiǎn)險(xiǎn)管理實(shí)踐踐與理論進(jìn)進(jìn)入第三個(gè)個(gè)階段，即即全球化階階段美國(guó)國(guó)防部部于2002年發(fā)布布了《信息息（安全））保障》指指令（8500·1），于2003年年發(fā)布了《《信息（安安全）保障障實(shí)現(xiàn)》指指令（8500·2）兩個(gè)文文件，作為為國(guó)防系統(tǒng)統(tǒng)安全評(píng)估估也包括風(fēng)風(fēng)險(xiǎn)管理的的依據(jù)。一、信息安安全風(fēng)險(xiǎn)管管理理論來(lái)來(lái)源于信息息安全實(shí)踐踐（三）、20世紀(jì)90年代末末，國(guó)際范范圍的風(fēng)險(xiǎn)險(xiǎn)管理實(shí)踐踐與理論進(jìn)進(jìn)入第三個(gè)個(gè)階段，即即全球化階階段基中正式發(fā)發(fā)布的此類類標(biāo)準(zhǔn)主要要有：SP800——26信息息技術(shù)系統(tǒng)統(tǒng)安全自評(píng)評(píng)估指南（（2001年）SP800—30信信息技術(shù)系系統(tǒng)風(fēng)險(xiǎn)管管理指南（（2002年）SP800—51CVE使用用和漏洞命命名法（2002年年）等等。。關(guān)于信息安安全風(fēng)險(xiǎn)管管理理論與與實(shí)踐發(fā)展展的一些思思考一、信息安安全風(fēng)險(xiǎn)管管理理論來(lái)來(lái)源于信息息安全實(shí)踐二、我國(guó)信信息安全實(shí)實(shí)踐對(duì)風(fēng)險(xiǎn)險(xiǎn)管理理論論提出了新問(wèn)題題、新要求求三、信息安安全風(fēng)險(xiǎn)管管理上存在在的問(wèn)題只只能靠信息安全全實(shí)踐來(lái)解解決二、我國(guó)信信息安全實(shí)實(shí)踐對(duì)風(fēng)險(xiǎn)險(xiǎn)管理理論論提出了新新問(wèn)題、新新要求20世紀(jì)90年代以以來(lái)，隨著著經(jīng)濟(jì)全球球化和世界界科技革命命，我國(guó)的的信息技術(shù)術(shù)、信息產(chǎn)產(chǎn)業(yè)和信息息網(wǎng)絡(luò)蓬勃勃發(fā)展。信信息安全日日益突出，，風(fēng)險(xiǎn)管理理的重要性性空前彰顯顯。2002年年我國(guó)在863計(jì)劃劃中首次規(guī)規(guī)劃了《系系統(tǒng)安全風(fēng)風(fēng)險(xiǎn)分析和和評(píng)估方法法研究》課課題。二、我我國(guó)信信息安安全實(shí)實(shí)踐對(duì)對(duì)風(fēng)險(xiǎn)險(xiǎn)管理理理論論提出出了新新問(wèn)題題、新新要求求2003年年8月月至今今年在在國(guó)信信辦直直接指指導(dǎo)下下，組組成了了風(fēng)險(xiǎn)險(xiǎn)評(píng)估估課題題組，，開展展了系系統(tǒng)的的風(fēng)險(xiǎn)險(xiǎn)評(píng)估估和管管理理理論研研究。。這期期間，，我國(guó)國(guó)一些些國(guó)家家研究究機(jī)構(gòu)構(gòu)、大大專院院校、、民營(yíng)營(yíng)企業(yè)業(yè)、外外資企企業(yè)、、向國(guó)國(guó)內(nèi)介介紹了了美、、英等等發(fā)達(dá)達(dá)國(guó)家家關(guān)于于信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估、風(fēng)風(fēng)險(xiǎn)管管理的的理論論、方方法和和經(jīng)驗(yàn)驗(yàn)，為為我國(guó)國(guó)這個(gè)個(gè)領(lǐng)域域工作作的開開展發(fā)發(fā)揮了了重要要作用用。二、我我國(guó)信信息安安全實(shí)實(shí)踐對(duì)對(duì)風(fēng)險(xiǎn)險(xiǎn)管理理理論論提出出了新新問(wèn)題題、新新要求求但是在在新形形勢(shì)下下，我我國(guó)風(fēng)風(fēng)險(xiǎn)管管理理理論和和實(shí)踐踐還存存在不不少亟亟待解解決的的問(wèn)題題。根根據(jù)““國(guó)信信辦信信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估課課題組組”去去年年年底至至今年年年初初進(jìn)行行調(diào)研研中接接觸到到的情情況，，我認(rèn)認(rèn)為可可以歸歸納為為如下下五個(gè)個(gè)方面面的問(wèn)問(wèn)題：：二、我我國(guó)信信息安安全實(shí)實(shí)踐對(duì)對(duì)風(fēng)險(xiǎn)險(xiǎn)管理理理論論提出出了新新問(wèn)題題、新新要求求（一））、絕絕對(duì)安安全的的觀念念束縛縛著風(fēng)風(fēng)險(xiǎn)管管理思思想的的樹立立（二））、主主觀上上風(fēng)險(xiǎn)險(xiǎn)意識(shí)識(shí)談薄薄影響響著對(duì)對(duì)我國(guó)國(guó)在信信息安安全上面面臨高高風(fēng)險(xiǎn)險(xiǎn)形勢(shì)勢(shì)的認(rèn)認(rèn)識(shí)（三））、現(xiàn)現(xiàn)代信信息網(wǎng)網(wǎng)絡(luò)已已成為為復(fù)雜雜系統(tǒng)統(tǒng)，現(xiàn)現(xiàn)有的的風(fēng)險(xiǎn)險(xiǎn)管理理理論和和手段段難以以完全全滿足足有關(guān)關(guān)要求求（四））、風(fēng)風(fēng)險(xiǎn)管管理理理論研研究與與信息息安全全實(shí)踐踐結(jié)合合不夠夠緊密（五））、現(xiàn)現(xiàn)有的的風(fēng)險(xiǎn)險(xiǎn)評(píng)估估、管管理理理論和和方法法有待待完善善二、我我國(guó)信信息安安全實(shí)實(shí)踐對(duì)對(duì)風(fēng)險(xiǎn)險(xiǎn)管理理理論論提出出了新新問(wèn)題題、新新要求求（一））、絕絕對(duì)安安全的的觀念念束縛縛著風(fēng)風(fēng)險(xiǎn)管管理思思想的的樹立立但信息息安全全保密密實(shí)踐踐歷史史告訴訴我們們，安安全保保密是是一個(gè)個(gè)動(dòng)態(tài)態(tài)過(guò)程程，安安全事事件是是一種種隨機(jī)機(jī)事件件，很很難做做到百百分之之百安安全。。祈求求“絕絕對(duì)安安全””將在在人力力物力力上付付出極極大代代價(jià)，，造成成嚴(yán)重重浪費(fèi)費(fèi)。二、我我國(guó)信信息安安全實(shí)實(shí)踐對(duì)對(duì)風(fēng)險(xiǎn)險(xiǎn)管理理理論論提出出了新新問(wèn)題題、新新要求求（二））、主主觀上上風(fēng)險(xiǎn)險(xiǎn)意識(shí)識(shí)談薄薄影響響著對(duì)對(duì)我國(guó)國(guó)在信信息安安全上上面臨臨高風(fēng)風(fēng)險(xiǎn)形形勢(shì)的的認(rèn)識(shí)識(shí)一些有有關(guān)人人員風(fēng)風(fēng)險(xiǎn)意意識(shí)談?wù)劚?，，信息息安全全知識(shí)識(shí)不足足，卻卻津津津樂(lè)道道“太太平盛盛世””，雙雙耳不不聞““盛世世危言言”，，甚至至認(rèn)為為，談?wù)勶L(fēng)險(xiǎn)險(xiǎn)是““杞人人憂天天”，，說(shuō)安安全是是“天天下本本無(wú)事事庸人人自擾擾之””。這這些都都嚴(yán)重重影響響了正正確認(rèn)認(rèn)識(shí)形形勢(shì)，，樹立立信息息安全全風(fēng)險(xiǎn)險(xiǎn)觀念念。二、我我國(guó)信信息安安全實(shí)實(shí)踐對(duì)對(duì)風(fēng)險(xiǎn)險(xiǎn)管理理理論論提出出了新新問(wèn)題題、新新要求求（三））、現(xiàn)現(xiàn)代信信息網(wǎng)網(wǎng)絡(luò)已已成為為復(fù)雜雜系統(tǒng)統(tǒng)，現(xiàn)現(xiàn)有的的風(fēng)險(xiǎn)險(xiǎn)管理理理論論和手手段難難以完完全滿滿足有有關(guān)要要求信息系系統(tǒng)在在規(guī)模模上日日益龐龐大，，網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)構(gòu)越來(lái)來(lái)越復(fù)復(fù)雜。。這樣樣的復(fù)復(fù)雜型型系統(tǒng)統(tǒng)進(jìn)行行有效效地風(fēng)風(fēng)險(xiǎn)分分析、、評(píng)估估和管管理，，需要要更先先進(jìn)的的理論論和手手段，，現(xiàn)有有的理理論難難以充充分滿滿足其其要求求。二、我我國(guó)信信息安安全實(shí)實(shí)踐對(duì)對(duì)風(fēng)險(xiǎn)險(xiǎn)管理理理論論提出出了新新問(wèn)題題、新新要求求（四））、風(fēng)風(fēng)險(xiǎn)管管理理理論研研究與與信息息安全全實(shí)踐踐結(jié)合合不夠夠緊密密在信息息安全全實(shí)踐踐中主主動(dòng)結(jié)結(jié)合風(fēng)風(fēng)險(xiǎn)管管理理理論不不夠。。近幾幾年由由一批批留學(xué)學(xué)人員員、民民營(yíng)企企業(yè)將將系統(tǒng)統(tǒng)的風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估理理論帶帶回國(guó)國(guó)內(nèi)，，引起起有關(guān)關(guān)部門門重視視。二、我我國(guó)信信息安安全實(shí)實(shí)踐對(duì)對(duì)風(fēng)險(xiǎn)險(xiǎn)管理