随着信息技术的迅猛发展,企业对信息产品和服务的依赖越来越大,信息的保密性、完整性和可用性显得尤为重要,这正是信息安全所要保障的内容.影响企业信息安全的因素涉及到多个方面,其管理是一个复杂的风险管理过程,而管理的基础正是风险评估和分析.该文探讨的就是如何对企业的信息安全状况作出准确合理的估计,运用风险评估理论,引入层次分析法,对这样一个多目标、多层次、多准则、结构复杂、因素众多的问题进行综合性和科学性的评价,并把评估方法应用于一家实际企业(海南航空集团),对该企业的信息安全状况各方面进行详细分析和判别,最后评价得出总体的风险等级水平.在科学评价企业信息安全风险的基础上,应选择适宜的控制目标与方式进行风险控制.该文考虑了企业的业务持续性和管理规范性,在国际通行标准要求的框架下从实际操作角度给出一个相对完整和可实施的信息安全管理体系设计和实施的解决方案,确保企业风险被降低或消除,从而实现全面的风险管理,促进企业运行效益.然后结合目前海航集团的业务发展需要和信息安全风险评价结果进行实际应用和实施,使集团的信息安全控制在技术和管理层面有机地结合起来,达到相对较高水平的信息安全.该文选取的应用案例企业海航集团是一家中等规模的民航生产运输企业,在业务信息系统运行、网络平台设置和管理维护上有一定的普遍性.通过对其信息安全的评估与管理,可以为国内中小型生产企业的信息安全建设提供可借鉴的经验和参考.