【IT168 专稿】信息系统的安全问题已从单纯的技术性问题变成事关国家安全的全球性问题，如何判断信息系统是否满足安全需要，如何科学地加强安全管理已到了迫在眉睫的时刻，因此科学地评估信息系统的安全性十分必要，是所有涉及安全的系统所面临的重要课题。
    
     一个信息系统中既包含着大量的信息以及由若干信息产品组合成的具有特定功能的通用系统, 也要受到系统中管理模块的支持, 还要与“人”发生交互作用, 是一个人机系统。此时的安全不再专指技术安全，而包括了管理领域的安全措施，亦即，信息系统安全由技术和管理两方面来保障，并要依靠人的主观能动性来实施安全措施。这时候，信息系统的安全已经不再局限于一个空间和时间上的点，而是涵盖了技术安全和管理安全的，需要全面的信息保障概念来实现。因此，系统安全的评估也必须体现出对空间延拓和时间发展的考虑，于是，信息系统评估最终都包含或完全采用了一套新的方法学，即风险评估。通过风险评估能够清楚信息系统的安全需求，了解信息系统的脆弱性，从而为达到信息安全建设的最终目的——满足信息系统的安全需求和降低信息系统的安全风险。因此，只有在风险评估中正确、全面地了解和理解信息系统的安全风险，组织才能在信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。
    
     风险评估遵循的服务标准
    
     在安全风险评估中所遵循的国际和国内安全标准：
ISO13335 《信息安全管理方针》
ISO 15408  《信息技术安全性通用评估准则》
SSE-CMM 《系统安全工程成熟度模型》
SP800-30 《信息系统安全风险管理》
ISO17799 《信息安全管理体系标准》
GB-17859 《安全保护等级划分准则》