当前，随着信息技术发展和社会信息化进程的全面加快，国民经济对信息和信息系统的依赖越来越大。由此而产生的信息安全问题也日益突出，必须高度重视，并有充分的对策。信息安全管理的本质是风险管理，这是因为没有绝对的安全也没有彻底的风险，安全和风险密不可分。所谓的安全信息系统，就是通过最优的风险管理策略，把信息系统上客观存在的风险，逐步降低到一个可以接受的程度。而风险评估是风险管理的第一步工作，是保障信息安全的重要手段，其作用被越来越多的人所认可。信息安全风险评估实际上就是根据有关的信息安全测评标准，对信息资产存在的脆弱性、面临的威胁以及脆弱性被威胁利用会产生的负面影响和危害事件发生的可能性，进行科学评价的过程。对信息安全风险而言，脆弱性和威胁是原因，负面影响和可能性是结果。本文以有关信息安全的国际标准为理论基础，提出了以风险管理为核心理念的信息安全风险评估模型，详细论述了以该模型为主导的风险评估方法，并在实际的信息安全风险评估项目中加以实施和验证。在本文中包括以下工作：首先，针对越来越多的信息安全需求，介绍了信息安全风险评估的概念、工作模式，以及国内外开展信息安全风险评估工作的情况，并从管理、技术和工程三个方面，介绍了业内最流行的测评标准，这些为风险评估模型提供了丰富的理论基础。第二，根据风险评估的几个关键因素如资产、脆弱性、威胁、安全策略、风险的相互关系，提出了相应的信息安全风险评估模型，充分体现了风险管理的核心理念。同时还论述了PDCA过程方法如何指导风险评估的各个阶段。第三，基于上述模型，本文对信息资产、脆弱性、威胁分别提出了详细的评估方法和赋值方法，创新性地提出半量化的综合风险计算方法，使风险评估结果更具有科学依据。最后，在实际的信息安全风险评估项目中应用和验证本文提出的风险评估模型和评估方法，并利用安全信息库对该模型进行了完善和优化。