随着互联网络的普及和信息化进程的深入,信息系统在各行各业中的应用得到了不断的拓展,信息系统的重要性愈显突出。另一方面,无论采用多么完善的安全保护措施,风险总是存在的,它时刻威胁着系统的安全。因此,有必要对信息系统进行周密的风险分析和量化评估,从而采取有效的措施保护系统的安全,保障系统的正常运作。信息系统风险评估的研究由来已久,在评估流程、方法以及相关工具的研究上都取得了许多成果,但在理论体系和实用性上仍然存在着很大的争议,在理论和方法上都还有很多值得进一步研究的地方。本文在研究分析了大量风险评估的相关资料后,鉴于信息系统的分布性和动态性以及风险因素多并且因素之间的相互关系影响到评估的进程,提出了风险评估要素的关系模型,具体分析了信息系统中各个风险要素之间的关系,为评估的顺利完成打下了基础。分析风险要素关系之后,论文从信息系统资源保护视角、组织目标实现视角、信息系统生命周期过程控制视角出发,提出了信息系统的三维评估模型。最后,根据该模型对信息系统风险评估的相关流程和技术进行了研究。在信息系统风险量化过程中,由于系统风险因素的复杂性,存在着众多不确定性的影响因素,很难通过有效的数据分析确定风险事件发生的概率,也很难准确地计算其发生后的影响值。基于此,论文采用了模糊综合评判的方法对风险事件发生的可能性和风险影响值进行了计算,最终求出风险综合值的大小,并通过示例介绍了方法的过程。接着论文从管理、人员、技术方面研究了系统的风险控制措施,并把系统划分成不同的安全区域,把系统的风险划分到区域内,以加强系统的风险控制。在论文的最后,以一个具体的信息系统为实例,运用本文提出的风险评估模型对系统的风险进行了分析,然后运用模糊综合评判的方法对系统的风险进行了量化处理,最后把系统划分为不同的安全区域,加强系统的安全管理。