随着计算机网络技术的发展，特别是Internet的广泛应用，现代社会对信息及信息系统的依赖程度日益加深。然而信息技术在带给生活工作便利的同时，也带来了巨大的安全隐患，为了保障信息及信息系统的安全可靠，需要对信息系统进行风险管理，而风险评估正是风险管理的重要环节之一。　　 本文首先介绍了信息安全的一些重要概念和国内外风险评估的标准，然后讲述了信息安全风险评估的相关概念，给出了风险评估的内容及流程，并对其进行了分析。在深入研究风险评估的标准，风险评估的方法基础之上根据信息安全风险评估的实际需求和现状，将层次分析法与模糊理论结合起来，应用于信息安全的风险评估。通过实际案例验证该方法的有效性和实用性，结果表明降低了计算风险因素值的工作量，同时提高了风险评估值的精确度，能够有效的为组织后续风险控制措施的采取提供依据，提前做好风险防范准备，降低系统的风险。主要工作如下：⑴基于层次模糊分析法的风险评估方法。对常用的风险评估方法进行研究，将其分为定性方法、定量方法，分析了定性方法和定量方法的优缺点，鉴于此采用将两者结合起来的方法，设计了一种基于改进的层次分析法的风险评估方法--层次模糊分析法，该方法可以解决层次分析法中主观性强而造成评估结果精确度不高的问题，同时降低计算工作量。将风险因素的主观评估和客观评估结合起来，使评估结果更趋客观和真实，通过案例分析，在实践中认证，说明该方法操作性强并符合实际风险评估结果。⑵针对层次分析法一致性检验未通过时，采用一致性逼近的办法修正判断矩阵。如何修正判断矩阵是比较困难的问题，本文的方法是分析原理再经过若干次实验进行验证。通过实验验证该方法具有有效性和可行性。实验表明该一致性逼近方法能够让判断矩阵以较快的速度让一致性比率收敛。