“信息化促进工业化,工业化带动信息化”,现代工业化的发展已经完全离不开信息平台的支撑。然而,作为企业的老总,在深知信息系统存在安全风险的同时,更想知道其中的主要风险是什么,怎样做才能提高企业信息系统的安全水平。采用信息系统风险评估可以对企业信息系统的安全状况作出一个客观的评价,依据评估的结果进行建设,可以做到有的放矢,渐入佳境。在众多的信息系统安全风险评估方法中,定性和定量是两个主流方法。定量评估方法更能直观地反映出信息系统的安全水平,深受评估单位的欢迎。但由于企业,尤其是大企业信息系统广大,人员较多,网络结构和设备繁杂,采用普通的定量评估方法是不现实的,而采取简单的抽样性评估,结果也是不精确的。因而急需研究一套适用于企业的信息安全风险评估方法。即信息安全风险评估企业定量方法。信息安全风险评估企业定量方法,就是依据企业,尤其是大型企业的特点,根据确定的评估内容,评估流程,在众多的信息系统,众多的人员与设备中,采用分类分别计算比例的方法,合理的选定评估对象,采样数量。同时,依据企业信息系统中资产价值,威胁性和脆弱性三者之间的函数关系,选取恰当的适合企业的风险计算数学方法,合理的计算企业信息安全风险评估数值。这对于企业,尤其是大型企业是很有用的,也是非常有意义的。本文在对信息安全风险评估企业定量方法研究的同时,给出了应用该方法开展的企业信息安全风险评估项目实例,即燕山石化公司最近实施的信息安全风险评估项目。在较为准确地确定了评估对象和采样数量的基础上,实施了信息安全风险的调研,测试,分析工作,根据三大元素(资产价值,威胁,脆弱性)的量化数据和风险计算数学方法得出的风险量化数值,确定了燕山石化公司目前最突出的急需解决的信息安全风险。