随着计算机网络技术的发展，特别是Internet的广泛应用，现代社会对信息及信息系统的依赖程度日益加深。然而信息技术在带给生活工作便利的同时，也带来了巨大的安全隐患。为了保障信息及信息系统的安全可靠，需要对信息系统进行风险管理，而风险评估正是风险管理的重要环节之一。2005年颁布的《信息安全风险评估指南》给出了风险评估的基本要素、基本流程、以及评估的模型方法等，但是没有给出评估的详细步骤及流程。 本文的主要工作是以《信息安全风险评估指南》为主要参考依据，结合层次分析法、模糊综合评判法、灰色预测模型等数学方法来对信息安全风险评估进行量化分析，是对指南进行的可操作性细化。 本文工作具体地可分为以下几个部分： 1．根据指南建立了风险评估量化模型的总体框架以及风险评估量化的计算方法，然后对模型的各个部分进行了分析； 2．根据量化模型的3个部分，即资产、威胁影响系数、威胁频次，分别建立其计算方法。针对资产建立了基于专家估测法和加权评分法的计算方法，针对威胁影响系数，建立了基于层次分析法和模糊综合评判法的计算方法，针对威胁频次，建立了基于灰色预测模型GM(1，1)的预测方法； 3．根据对风险评估量化模型的研究，用软件工程的方法设计和实现了风险评估量化模型的原型系统软件； 4．根据设计的风险评估量化模型原型系统软件，以重庆市F区电子政务系统的部分模拟实验网进行测评分析。 总的来说，本文工作是对《信息安全风险评估指南》的有效补充和细化，增加了评估指南的可用性和可操作性，能使系统管理人员或组织机构决策者认识到威胁对资产构成的风险演变，提前做好对风险的防范准备，达到了预期的效果。