国家标准计划《信息安全技术 信息安全风险评估规范》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。

主要起草单位 北京安信天行科技有限公司 、国家信息中心 、中国信息安全认证中心等 。

通过对《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）进行修订完善,调整标准中与当前国家安全战略和安全形势不一致、或在标准应用过程中不适宜的方法和内容，优化风险评估的实施流程和过程,补充完善标准中缺失的方法和内容，提升标准的科学性、规范性和适宜性，形成能够与当前信息安全新形势和新环境相适宜的信息安全风险评估标准,指导我国的信息安全保障工作建设。

本项目将对信息安全风险评估工作在我国的开展现状进行调研，对我国在网络空间安全新战略下，对信息安全风险评估工作所带来的新要求和新挑战进行充分分析，同时，结合国内外的研究成果和先进实践经验，研究信息安全风险评估规范的修订原则、修订方针和修订重点，在这些方针和原则的指导下，对GB/T 20984-2007进行修订，形成新版的信息安全风险评估规范标准，指导我国的信息安全风险评估工作开展。 标准共分为8个章节，其中第1~3章为标准规范性一般要素，4、5、6、7、8五章是标准的规范性技术要素。其中，第四章定义了风险评估框架及流程，包括风险要素关系、风险分析原理和评估实施流程等；第五章详细定义了风险评估的实施过程，包括风险评估准备、资产识别、威胁识别、已有安全措施识别与分析、脆弱性识别、风险分析、风险评价等全过程，以及风险评估过程中的文件记录要求；第六章定义了风险处理的过程；第七章规定了信息系统规划、设计、实施、运行、废弃等生命周期各阶段的风险评估；第八章定义了风险评估的两种工作形式。