随着我国信息化应用的逐步深入,越来越多领域内的主要业务都依赖于信息系统得以实施。信息系统风险评估及以其为基础和前提的信息系统安全工程越来越受到人们的重视,这在很大程度上保障了基础信息系统的安全。然而目前我国在信息安全风险评估方面还处于初级阶段,到目前为止缺乏形式化的分析和描述方法,无法精确分析和描述风险相关要素,给评估结果带来很大的偏差；缺乏对风险相关要素的抽象和归纳的方法,暂时还没有有效的风险量化模型算法；同时评估的结果也不够直观。为了解决这个问题,本文在研究2006年颁布的安全标准《信息安全风险评估指南》之后,借鉴其评估的流程及计算思想。在此基础之上对信息安全风险评估的要素进行了详细分析,并结合模糊数学理论和层次分析法提出了信息安全风险评估量化模型,可以较为准确的计算信息系统存在风险的大小,为提高企业信息安全水平提供客观的依据。本文首先对信息安全风险评估的国内外发展和研究现状进行了深入分析,并对风险评估相关国际国内标准进行了分类的研究。同时也研究了风险评估的方法及风险评估的实施流程。然后针对《信息安全风险评估指南》中的风险计算模型比较宏观和可实施性不是很强等特点,通过对评估系统进行层次化分解,将系统中涉及的各种要素进行定量的分析,给出了风险综合值计算模型总体框架。接着给出了基于模糊综合评判决策模型的风险事件发生可能性的计算模型,并采用层次分析法,通过构建比较判断矩阵来计算风险影响的大小。最后将该信息安全风险评估量化模型应用于实际系统中来验证其可行性。