跨入21世纪, 随着网络和信息技术的发展, 互联网及其应用高速发展,  同时国际范围内出现了大规模黑客攻击，信息战的理论逐步发展，并且美国的军事、政治、经济和社会活动对信息基础设施的依赖程度达到了空前的高度， 在此环境下, 美国又开始了对信息系统新一轮的评估和研究，产生了一些新的概念、法规和标准。从2002年1月开始, NIST先发布了《IT系统风险管理指南》（SP 800-30）、《联邦IT系统安全认证和认可指南》（SP 800-37）、《联邦信息和信息系统的安全分类标准》（FIPS 199）、《联邦IT系统最小安全控制》（SP 800-53）、《将各种信息和信息系统映射到安全类别的指南》（SP 800-60）等多个文档。

虽然美国引领了网络和信息技术的发展，但是目前影响最广泛的 网络和信息安全方面的标准ISO/IEC 17799:2005 （其前身是BS7799 Part 1， 全称是Code of Practice for Information Security，也即为信息安全的实施细则）却来自英国，并被大多数国家认可和使用。目前我们常讲的ISO 27001 和ISO 27002 ， 其前身分别是BS7799  part 2 和BS7799  part 1。

信息安全评估涉及到方方面面，安全标准也十分庞杂，各种评估标准的侧重点也不一样，比如《信息技术安全性评估准则(CC) 》和《美国国防部可信计算机评估准则(TCSEC) 》等更侧重于对系统和产品的技术指标的评估；《系统安全工程能力成熟模型(SSE-CMM) 》更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。ISO/IEC 17799 （也就是ISO 27001 和ISO 27002）在对信息系统日常安全管理方面具有无法取代的地位，因此，目前国外很多企业接受ISO 27001：2005（BS7799-2）的认证，即信息安全管理体系认证证书。

国内情况比较简单，由于关于安全风险评估研究起步的较晚，目前国内整体处于起步和借鉴阶段，在安全风险评估的标准研究上还处于跟踪国际标准的初级探索阶段。国家质量技术监督局于2001年依据国际标准CC颁布了GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》，相关的标准还有依据美国的TCSEC及红皮书于1999年发布的GB17859《计算机信息系统安全保护等级划分准则》，以及我国专门针对信息系统安全风险评估制定标准《信息安全技术 信息安全风险评估规范》（GB20984-2007）和《信息安全风险管理指南》。

当前我国正在进行的“信息系统安全等级保护”也是进行信息安全评估的一种重要形式, 其重要性不亚于60年代初, 美国通过两年半的时间进行的第一次全美国范围内的大规模的风险评估。

信息系统安全等级保护工作在国内的状况, 与美国2002年颁布的《联邦信息安全管理法案》（FISMA）有相似之处。该法案试图通过采取适当的安全控制措施来保证联邦机构的信息系统安全性，是当前美国信息安全领域的一个重要发展计划。

(责任编辑：)