本文从决策科学领域的多目标决策入手，针对信息系统风险的多层次性和多样性,应用AHP层次分析法，识别系统面临的威胁，建立AHP层次分析模型，得出各种威胁的优先级别，然后针对系统现有的安全架构和备选安全技术进行评估，提出系统加固的措施。应用上海A局的信息系统（涉密）进行案例分析，得到了比较满意的结果。 本文的创新性在于：第一，将时间损失、企业信誉受损等后果列入风险量化的范围。一般的风险资产评估仅仅以价值的形式进行量化，企业无法量化某一次成功攻击对其商业形象的影响，然而，这些影响往往比企业资产损失或者恢复系统耗费时间还要严重，在系统损失的可能性和严重性未知的情况下进行评估会增加复杂性和不确定性；第二，不要求企业安全人员拥有系统威胁的详细统计数据。只需要根据经验提供各类威胁数据的估计值和期望值，输入模型后进行计算得出风险列表，一旦这些估计值有了更新，通过分析可以得出评估结果的变化。 信息安全建设是一项复杂的系统工程，要将规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。他山之石，可以攻玉，将其他学科解决问题的方法移植于信息安全风险评估过程中，可以达到事半功倍的效果。