现实生活中,任何组织或个人都会面临信息安全带来的风险,然而,仅仅依靠技术的手段并不能从根本上避免信息安全风险的发生。一种高效科学的风险量化方法,有助于强化决策者对风险发生概率及其将会导致的损失的直观认识,从而正确有效地指导信息安全建设。根据风险评估的基本理论方法：风险(尺)=发生概率(P)×损失(L),本文对这一公式中风险发生概率和风险物化所造成的损失分别进行研究。首先,本文从信息安全事件的概率分布规律出发,将信息安全事件发生频数看作离散随机变量,通过统计推断信息安全事件发生频数服从泊松分布,并采用国家互联网应急中心(CNCERT/CC)统计数据验证这一推断结果。在此基础上,基于贝叶斯定理,建立泊松分布下的信息安全事件概率计算模型。根据泊松分布的概率质量函数,计算信息安全事件发生频数的先验概率分布；通过构建似然函数调整先验概率分布,计算信息安全事件发生频数后验概率分布。其次,本文将VaR方法应用于信息安全风险损失度量,选用蒙特卡罗模拟法计算一定置信度下的信息安全风险最大损失(VaR)。并通过对该方法计算VaR进行收敛性分析和准确性检验验证了该计算方法的有效性。为弥补VaR方法对尾部信息安全风险的测量的不充分性,本文提出用CVaR方法来度量信息安全尾部风险损失,分别描述收益率服从不同分布下来计算CVaR,并通过定义一个统计变量对CVaR计算结果进行准确性检验。最后,本文选用CNCERT/CC数据来计算信息安全风险发生概率,根据信息安全风险损失模型计算得出的最大可能损失(VaR)和平均超值损失(CVaR),计算信息安全风险值,验证了该信息安全风险量化方法的可行性,并可通过该方法有效指导信息安全建设。本文研究成果为信息安全风险量化方法提出了新思路,丰富了信息安全风险度量方法,提供了风险管理理论和技术支持。从管理方面来说,促进资源优化配置,合理安排信息安全资金投入,以更优的费效比进行信息、安全建设,减少因为信息安全事件带来的损失；从技术方面来说,提供了一个信息安全风险发生概率计算模型和一种信息安全风险损失计算思路。从社会方面来说,通过有效的风险量化,让组织和个人对信息安全风险有一个直观的认识,有利于保障组织和个人的信息安全,减少信息安全事件的发生,控制信息安全造成的影响,保障社会的稳定。