本文针对面向系统的有效安全评估方法欠缺的现状，提出了一个新颖的基于UML的安全评估方法。它是一种既符合国际安全标准，又偏重于技术分析的，专注于信息系统的快速评估方法。 首先，提出将统一建模语言UML的建模思想运用到安全评估方法的各个评估步骤中。利用UML的图形化表示法，可有效提高系统评估过程中评估人员与系统所有者、评估人员之间的沟通与交流效果，并提高评估工作的准确性。在评估过程中的关键资产识别、威胁识别、威胁影响估计、发生概率估计等步骤中运用UML进行安全建模，使安全评估可重用，易维护，可降低评估的实施成本。 在安全评估过程中，进一步对如何将SSE-CMM和BS7799安全标准融合在一起来指导安全建模进行了研究。通过对SSE-CMM和BS7799两者的研究和比较，将两者优势相结合，从针对系统的安全评估和针对过程能力的安全评估两个视角来制定评估的实施步骤。在参与人员选择，标识关键资产，标识安全需求，标识对关键资产的威胁，应用概率于威胁，以及建立并运用风险评估标准和执行并跟踪风险降低活动等各个步骤中，主要以这两个安全标准为指导，互为补充，使该安全评估方法的评估工作更加全面。 在此基础上，开发出了与UML安全评估方法相配套的自动化评估工具包软件。该软件包基于java模式设计，具有较好的可扩展性。其能够解析通过本安全评估方法建立的安全模型，自动产生安全评估报表，可使安全评估人员从纷繁复杂的安全评估报表整理中解放出来，真正将精力集中在本UML安全评估方法的建模中。