本标准给出了风险评估(信息安全风险评估〉的基本概念、框架、目的、原则、方式和时机，规定了风险评估的过程和方法。
本标准适用于中国石油天然气集团有限公司(以下简称“中国石油”)总部及所属各企事业单位对其信息资产（包括应用系统、网络架构、重要服务器与终端计算机等）进行的风险评估实施和管理。