论文在对国内外相关信息安全风险管理的研究成果及存在的问题进行综合评述的基础上,对论文的研究内容、研究方法和技术路线进行概括阐述。同时介绍了风险管理的一般理论,详细阐述了信息安全与信息安全风险、信息安全风险管理的基本理论,引入与风险管理相关的内部控制理论,为论文的后续研究工作做好理论铺垫。论文首先对典型的三个国际信息安全标准中提出的信息安全风险的构成要素及相互关系分别进行了阐述,提出了面向任务的信息安全风险构成要素,同时对信息安全风险的形成机制进行了深入而全面分析;接着对国内外典型的信息安全风险管理过程进行了阐述和比较,提出了一种改进的信息安全风险管理过程;对信息安全风险评估两个主要过程风险分析流程和风险估计流程进行了详细阐述;接着是信息安全风险评估方法的研究,对层次分析法、模糊综合评价方法、贝叶斯网络方法、故障树方法、因果图方法进行介绍和比较分析,建立了适用于信息安全风险评估的模糊动态因果图方法,并给出了应用实例。接着在以上研究基础上,对信息安全风险评价指标的设置原则、选取方法及指标体系的测算与完善理论进行阐述,通过系统分析建立了信息安全风险综合评价指标体系,对信息安全风险评价指标体系中的权数确定方法、有关定性指标量化理论和模糊评价方法进行了探讨。然后详细阐述了风险控制的基本概念、风险控制机制和风险控制策略,并对信息安全不同作用层面和信息系统生命周期不同阶段的风险控制进行了研究,提出了信息安全风险管理的对策。最后对全文的研究内容和研究成果简单总结,同时对论文研究过程中的不足及未来研究方向作以分析论述。