随着计算机的日益发展和普及，计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。任何企业及其信息系统都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏、火灾、水灾等大范围的安全威胁。因此有必要对信息系统的安全性进行评估。对信息系统进行风险评估即脆弱性、系统面临的威胁及其发生的可能性，以及脆弱性被威胁源利用后所产生的负面影响的评估，系统安全的风险评估结果对组织机构在信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策有重要的指导作用。而我国的风险评估研究才刚刚起步，有很多问题值得去研究。本文对信息系统安全风险评估进行了以下几个方面的研究：1．对风险评估要素间关系模型的研究，发现一般模型存在静态考虑的缺点，通过扩充评估要素集合，特别突出人和评估等级，得到新的风险评估要素关系模型，克服了这个缺点；2．对国际上流行的信息安全评估标准CC、BS7799、SSE-CMM进行了分析，得出BS7799标准的结构十分清楚、借助它实施风险评估十分清楚和流畅，实施人员可以依据目录分门别类进行选择和操作，同时，还便于在风险评估后进行核查、教育和培训；3．对BS7799标准、定量和定性分析方法的研究，提出能够对BS7799标准进行改进、定性和定量相结合的风险评估方法，以克服单一评估方法的不足。在具体设计风险评估方法时，采用风险树和风险模式影响分析相结合的方式对BS7799进行了实施与应用；4．通过具体案例仿真研究，验证了此方法的科学性和可行性。