我国在信息安全产业的历史上已经有10多年的发展经验，在安全产品上已经表现出一定的成熟度，由企业内部的业务安全合规性需求，加上风险评估、等级保护、萨班斯法案这些来自企事业单位外部的政策力量，为国内的信息安全产业带来了一些新的机遇。

　　自从2006年8月以来，我国逐步对国有企业开展风险评估检查工作。同时，从2007年起还将对“8+2”系统开始实行制度化风险评估工作。

　　正是在这些机遇的背景下，国务院信息化办公室酝酿已久的《信息安全风险管理指南》国家标准即将出台。国家信息中心的相关人士告诉记者，虽然目前只是递交的征求意见稿还在审核之中，但是市场上已经有很多企业已经依据该标准在执行了。

　　“信息安全风险管理是信息安全保障工作中的一项基础性工作，实施信息安全风险管理应当首先考虑安全测度指标。”1月15日，在“首届信息安全风险管理高峰论坛”上，中国信息安全产品测评认证中心吴世忠主任认为：“安全测度指标可以衡量安全措施的有效性、改进安全审计、指导基于风险的安全投资。”

　　国务院信息化办公室网络与信息安全组熊四皓处长认为：“虽然风险管理还不能说是一门精确的科学，但它确是一门具有高度不可预见性的艺术。目前确立风险意识的文化、对风险进行现实的评估、确保风险承担者分担风险、将风险管理纳入日常工作过程，已成为风险管理的四大核心内容。”

　　对于风险测度体系标准，吴世忠认为应当从三个方面入手：与测度体系的测量和分析相关的方法论标准;与测度体系构建有关的本体论标准和;与经营和组织使用的测度体系相关的管理组织标准。

　　国信天辰公司作为《信息安全风险管理指南》积极推动者之一，总经理刘恒博士认为：“目前包括政府发布的政策、国内企业对信息安全的重视、电信行业对安全服务的要求以及国际上一系列相关法案的出台，都促使中国安全服务行业向更规范、专业的方向发展。”