《信息安全技术 信息安全风险评估方法》由TC260（全国网络安全标准化技术委员会）归口上报及执行，主管部门为国家标准委。

全球恶意程序攻击行为持续增长，为应对网络攻击与数据泄露的常态化威胁，全球各国已将信息安全风险评估作为保障国家安全、社会秩序及公民、法人和其他组织合法权益的核心手段，风险评估已成为各国数字化发展的刚性需求。

我国信息安全风险评估标准（GB/T 20984-2022）结合了国内风险评估实施经验并参考国外相关标准，落实了新时代法律法规和政策文件对信息安全风险评估工作的新要求。

标准遵照“业务+威胁”的风险评估理念，结合国际通用风险评估模型和流程，从组织生存和发展的视角，客观界定业务的边界范围和重要性，结合业务所处的内、外部环境，统筹识别威胁主体和攻击路径，客观评价针对威胁采取的安全防护措施的有效性和威胁攻击路径中存在的防护薄弱环节，进而综合分析组织面临的安全风险。

国外风险评估相关的标准主要是ISO 31000:2018、ISO/IEC 27005:2022等，当中提供了关于如何管理信息安全风险的详细指南，在信息安全领域中体现了最新的风险管理最佳实践，但针对风险评估缺少专门的标准。

另外，我国网络安全领域的产品、技术、服务进入海外市场通常需要遵循国外或国际通用的风险管理相关标准，如ISO 31000、ISO/IEC 27005等，因此既要满足国内标准要求，还要满足国外相关标准要求，从而增加了企业出海成本。

将国家标准《信息安全技术 信息安全风险评估方法》（GB/T 20984-2022）翻译为英文后，一是可以填补国外在风险评估方面标准的空白；二是与ISO 31000、ISO/IEC 27005等国际标准进行融合，推动评估结果互认，促使中企获得国际认可，从而减少重复评估成本，促进我国网络安全领域的产品、技术、服务“走出去”；三是向国际社会展示中国风险评估技术实力和实施经验，为国际风险评估相关标准修订提供参考，增强在风险评估方面的话语权。