ISO/IEC 27001作为当前国际上具有代表性的信息安全管理体系标准,得到了越来越多国家的认可。目前,国内关于该标准的认证咨询活动日渐增多,然而,信息安全风险评估作为实施ISO/IEC27001认证咨询的关键步骤,在该标准中并未给出其具体的操作方法,因此,咨询公司都是采用各自的做法,没有一个统一的标准。为了促进国内咨询行业信息安全风险评估工作的发展,本文对已参与项目中所使用的信息安全风险评估方法的风险评估途径、风险识别方法以及风险计算方法分别进行了探讨,并在上述问题探讨的基础上编制了本文的信息安全风险评估方法。该方法将组织内的信息安全风险评估分为两个部分,一部分为组织整体安全状况的评估,采用基线评估的方法,操作中主要借助信息安全检查表来完成,另一部分为重要资产的评估,采用详细风险分析,操作中依靠基于风险树的分析方法来完成。