本文通过对信息系统安全评估发展情况的介绍，指出了要想从根本上解决信息系统的安全问题，就必须首先对信息系统进行全面系统的风险评估。这里值得注意的是，本文并未仅注重单环节上的技术领域的研究，更重要的是对信息系统的安全风险建立全面而系统的评估指标体系。本文根据全面性和重要性相结合、结构相对稳定性与内容动态性相结合、定量指标和定性指标相结合、统计上的可行性和准确性相结合的原则，详细的建立了将信息系统安全风险评估的指标体系，包括管理安全、运行安全和技术安全等三个方面，并进一步从有效性和可信度两方面论证了指标体系的合理性。由于当前单一的风险评估方法都具有一定局限性的缺陷，本文提出了组合评估算法，对系统的风险进行量化分析。首先针对被评估的系统，选择出几种方法对其信息系统进行风险评估；再按权重将不同方法的具体评估值组合起来，得到系统的最终评估结果。最后，本文以南阳市商业银行网络信息系统为对象进行了实证分析。