人类社会正在经历一场从工业化社会到信息化社会的嬗变。随着信息技术的迅速发展,越来越多组织机构的业务依赖于信息与信息基础设施,并籍此获得竞争优势,信息在现代组织机构里扮演越来越重要的角色。当今之世,组织机构的业务活动与信息紧密相关,精确信息被认为是组织机构能够存活和具有竞争力的强力工具,因此,信息安全具有极端重要性,随时保护信息的安全对组织机构而言是个紧迫任务。信息安全是一个复杂的系统工程,信息安全风险评估是其基础和前提,具有核心的地位。然而,信息安全风险评估是困难的。本课题旨在从组织管理的视角,提出一种基于知识的信息安全风险评估模型和理论框架,并研究了相关的问题,为信息安全风险评估提供一个新的思路。本文从总体上分为三个部分:第一部分,包括第1和第2章,描述本课题的研究缘起;第二部分,包括第3、第4、第5和第6章,描述本课题的主要研究内容;第三部分,即最后一章,对全文研究内容进行了总结和展望,指出研究工作中存在的不足,明确了下一步的研究方向。本研究的主要创新点如下:(1)探讨组织管理视野下的信息安全本质,并将信息安全风险抽象为组织管理中的信息安全保障能力与信息安全需求之间的知识缺口,提出了一种基于知识的信息安全风险评估的整体框架。(2)利用区间数构造专家判断矩阵,使之更适合于表达现实的不确定性和专家经验的模糊性,针对区间数判断矩阵权重获取的难题,利用免疫进化的优化机理,探讨了区间数判断矩阵的权重向量的一种新的求解算法。(3)针对如何科学地确定组织“需要保护之关键何在”问题,引入TOPSIS技术,采用多准则决策的方法,对关键信息资产按重要性程度排序,为有侧重点地评估风险和制定安全策略提供依据。(4)引入模糊理论和群体决策方法对DEMATEL分析方法进行扩展,探讨了一种新的信息安全风险因素分析方法,采用这种方法对信息安全风险的影响因素进行辨识,实现定性定量相结合的信息安全风险因素的分析与评估,为进一步的风险分析并有针对性地制定安全策略提供决策依据。