伴随着信息化的快速发展,互联网使用的逐渐普及,企业信息系统安全问题越发突出。信息安全事件时有发生,这些事件不但会造成巨大的经济损失,甚至可能对国家信息安全带来影响。而今,信息系统安全问题已成为绝大多数企业成功的关键因素之一,切实做好信息安全防护工作刻不容缓。本文遵循定性定量分析研究思路,从信息系统风险评估与管理过程中的关键问题入手,充分考虑人为失误对信息系统安全风险的影响,着眼于从技术因素和人为因素两个方面分析信息系统安全风险,借助灰色系统理论中的灰统计评估方法,建立基于灰色理论的信息系统安全风险评估模型,并通过某通信运营商信息系统实例验证该模型具有的应用价值,为信息系统安全风险评估研究提供了新视角和新方法。本文主要工作有：(1)建立基于人因失误理论的信息系统安全风险评估指标体系。从技术因素和人为因素两方面建立的风险指标体系,有效地解决了风险管理对信息系统安全风险评估的要求,这种将风险分析从技术风险上升到人员风险的风险评估将为组织提供更全面、更有效的信息风险管理方案。(2)建立结合层次分析法的灰统计评估信息系统安全风险评估模型。首先将信息系统涉及的主要风险因素按其关联隶属关系构成递阶层次结构,然后依次划分风险等级,专家评分、确定评估灰类、计算指标权重、对底层指标灰统计评估,最后采用逐层加权重综合评判的方法评估整个信息系统的风险等级。(3)应用风险灰统计综合评估模型对某通信运营商信息系统进行风险综合评估。结合其信息系统的结构、风险特点和风险因素,从信息流程管理及技术角度构建该通信运营商信息系统的风险评估体系。然后应用风险灰统计综合评估模型对该通信运营商信息系统进行风险综合评估,确定了该通信运营商信息系统各风险因素和总体风险等级,并给出风险控制建议。结果表明基于灰色理论的信息安全风险评估模型能够比较充分地利用评估指标所包含的信息,具有良好的操作性,对实际工作有一定的参考价值。