NIST公布了SP800-30（第1次修订版）—风险评估指南草案。SP800-30（第一次修订版）是第五次由联合特遣部队、国防部、情报机构、NIST和国家安全系统委员会共同制定的风险管理和信息安全指南。这种在国防部长、国家情报局长、工商和科技局长领导下的联合伙伴关系，为联邦政府制定了一个统一的信息安全框架，同保护国家的重要信息基础设施一样，保护联邦信息和信息系统。

在当今世界纷繁复杂的安全威胁形式下，对一个风险管理组织来说，风险评估是一个全面的风险管理计划中必不可少的工具。风险评估可以帮助：

1．确定最合适的风险应急，以应对正在进行的网络攻击或因人为或自然灾害的威胁。

2．为了给最有效地网络防御制定投资策略和决定，以保护组织运作（包括任务、功能、形象和声誉等）、组织资产、个人，其他组织和国家。

3．针对有关组织信息系统和系统运行环境的安全状态，保持持续的情景意识。

本版本改变了原Sp800-30的侧重点，SP800-30最初是作为一个风险管理指南。NIST sp800-39已经取代sp800-30作为全面风险管理之道的权威来源。对sp800-30的更新聚焦在风险评估—风险管理过程的四个步骤之一。Sp800-30的风险评估指导已经扩大到包括更深入的一个确定的信息安全风险（比如说威胁的来源和事件，漏洞及其诱发条件、影响，以及多种信息威胁发生的可能性）这三个步骤的过程描述包括为风险评估准备做的活动；成功进行风险评估的方法活动；评估结果的通用维护方法。

除了提供一个综合的信息安全评估方法，该出版物还介绍了如何在风险管理等级中应用这三层的方法—组织级、业务/流程级、信息系统级。为了方便个人或者组织使用，以在组织范围内进行风险评估，它提供了有代表性的模板、表格和常见风险因素的评估权重。根据组织制定的目标、范围、假定和约束，模板、表格和评估权重在风险评估时有很大的灵活性。