本文主要研究银行信息安全风险评估中六西格玛的实际效用,前提是银行内部已经实施六西格玛管理战略,并已在银行的组织内部推广六西格玛先进的流程改进方法。通过基于模糊综合评判决策模型的风险综合值计算和基于效用理论的风险影响值定量分析,来进行风险评估结果的差异性和可信度的度量;结合六西格玛先进的流程改进分析方法来改进信息安全风险评估综合值计算的水平,建立风险基线等级评估指标;并对评估结果的符合性进行适当的改进优化。在此基础上解决风险评估结果的两个关键问题:一是如何度量高损失、低概率与低损失、高概率风险事件间的差异;二是如何度量不同规模的信息系统或网络系统对同等风险事件的承受能力的差异问题。做到有效降低信息安全风险,真正提高风险评估的符合性、准确性和可信度,达到提高风险评估的质量、优化风险评估流程,从而确保企业永续经营的最终目标。本文的研究工作主要有以下几个方面:1、根据国标草案《信息安全风险评估指南》中的风险计算模型构建风险综合值度量模型,给出风险综合值计算模型总体框架。风险综合值度量模型是融合了六西格玛先进的流程改进方法和模糊综合评判决策模型,得出的模型,可计算出准确可信的风险综合值。目前,国内风险评估大都以定性为主,论文在要素分析上则尽可能的采用定量方法,使得结果更加直观、更有说服力。2、提出基于模糊综合评判决策模型的风险事件发生可能性计算方法。本文将威胁行为发生的可能性、资产的脆弱程度、资产现有的安全措施三大风险评估的主要要素有机融合在一起,并在此基础上通过六西格玛方法初步建立风险度量过程的各个关键基线指标,采用模糊综合评判方法,得出风险事件发生可能性计算模型。3、通过风险评估的效用度量模型,分析风险评估结果。把效用函数引入信息安全风险评估领域,利用其反函数,定义绝对损失效应和相对损失效应,通过两种不同效应产生的结果度量安全风险及风险影响值;达到两个目标:一是绝对损失效应能度量高损失、低概率与低损失、高概率风险事件等值效用的差异,二是相对损失效应能度量不同规模组织对同种风险承受能力的差异,克服风险平均损失不能度量这些差异的缺点,提高风险评估结果的符合性、准确性和可信度。