2008 年, 我 国 正 式 发 布 国 家 标 准 GB/T
22080-2008,完成信息安全管理体系国际标准
2005 版的转换。随着标准版本的升级,标准本
身也有所变化,如风险识别过程的变化。信息安
全管理体系从国际标准的 2005 版,发展到 2013
版,又升级到现在 2022 版,经过了三次版本的
变化。在2005版的GB/T 22080-2008标准中,4.2.1
建立 ISMS。从标准的规定可以看出,风险评估
的识别基于信息资产。因此,信息安全管理体
系的风险评估都基于信息资产开展,否则不符
合标准的要求。在 2013 版 GB/T 22080-2016 标
准中,6.1.2 信息安全风险评估。2013 版标准中
风险的识别,已经不再强调“资产”。2022 版
ISO 27001:2022 标准,6.1.2 信息安全风险评估。
2022 版标准在 2013 版标准的基础上,同样不再
强调“资产”,体现了现代管理体系注重的是
风险管理的理念,核心思想是为组织业务服务。
