信息化的不断深入，使得国民经济和社会发展对信息系统的依赖程度提高，信息系统的安全问题受到更广泛的关注。研究与实践表明：仅仅依靠安全技术和安全产品不能解决所有安全问题，必须将风险管理理论引入系统安全解决方案中。因此，开展信息系统风险管理理论与关键技术的研究具有非常重要的理论意义和实用价值。本文在对国内外标准、方法、工具和安全体系研究现状分析的基础上，针对信息系统风险管理中存在的主要问题，采用周期性管理的思想，对信息系统风险管理理论与关键技术进行了研究。具体内容分为以下五个方面：(1)提出一种较为完善的信息系统风险管理方法TPISRM提出的TPISRM风险管理方法是一种模块化的管理方法，便于风险管理软件的开发，它适用于具有不同体系结构和安全等级需求的企业。在TPISRM管理方法中，增加了风险管理预算和风险控制(状态监控和事件响应等)阶段。(2)提出一种信息系统风险管理工程预算模型在软件开发预算模型COCOMO-Ⅱ的基础上，提出基于贝叶斯信念网络(BBN)的预算模型BBSMBM，便于合理规划风险管理工程进度，为企业财政预算提供依据。本文给出了BBSMBM模型风险管理工程预算表达式以及各参数的估计方法，给出BBSMBM模型的构建方法，然后采用Monte Carlo模拟法估计管理工程预算值。(3)提出一种基于贝叶斯理论的概率风险分析方法提出贝叶斯概率风险分析模型，解决风险量化过程中的不确定性问题，包括风险发生概率和造成损失的不确定性，为有效实施风险管理提供依据。(4)模糊多属性理论与群体评价方法在风险管理中的运用提出综合权重确定算法和风险排序算法，运用到模糊多属性风险排序方法中。在安全方案选择阶段，将成本效益法、多维安全保障策略以及群体评价方法相结合，提出基于多属性群体决策方法的安全方案选择模型。模糊多属性群体决策理论提高了决策结果的准确性和风险管理的有效性。(5)提出一种基于因果关系图的自动事件响应方法在认知图理论的基础上，扩充关系运算法则并且给出反复推理规则，提出一种基于因果关系图和成本效益相结合的自动事件响应方法。本文的研究意义在于通过对信息系统风险管理框架、管理流程、关键技术的研究，将信息安全、概率论、模糊理论、决策理论、经济学、认知推理等多学科方法相融合，不仅拓宽了信息系统风险管理的研究领域和内容，而且为提高风险管理的准确性和有效性奠定了坚实的理论基础，具有重要的现实意义。