2008 年， 我国正式发布国家标准GB/T22080-2008，完成信息安全管理体系国际标准2005 版的转换。随着标准版本的升级，标准本身也有所变化，如风险识别过程的变化。信息安全管理体系从国际标准的2005 版，发展到2013版，又升级到现在2022 版，经过了三次版本的变化。在2005版的GB/T 22080-2008标准中，4.2.1建立ISMS。从标准的规定可以看出，风险评估的识别基于信息资产。因此，信息安全管理体系的风险评估都基于信息资产开展，否则不符合标准的要求。在2013 版GB/T 22080-2016 标准中，6.1.2 信息安全风险评估。2013 版标准中风险的识别，已经不再强调“资产”。2022 版ISO 27001：2022 标准，6.1.2 信息安全风险评估。2022 版标准在2013 版标准的基础上，同样不再强调“资产”，体现了现代管理体系注重的是风险管理的理念，核心思想是为组织业务服务。