本文主要以信息安全风险评估方法为研究对象，主要是为了能研究出一个可行性高的、准确性较好的，适合一般企业的信息安全风险评估方法。以应对日益复杂的信息安全风险和环境。本文先介绍了前人对于信息安全风险评估的研究，并选择了最适合企业的信息安全风险评估标准GB/T22080和GB/T20984方法进行研究，在结合现实范例分析后，展示了传统方法的不足，比如难以进行客观的定量分析，风险值计算过程中存在漏洞，评价人主观操控评估结果等。并分析出造成这一切后果的主要原因，那就是GB/T20984方法没有在资产之间建立起有效的逻辑关系，也很难对用户的风险进行度量。为了改进此风险评估方法，本研究引入了ITIL中的配置管理理念，要求将所有的资产之间的管理清理出来并加入数据库，再加上故障树分析、CORAS等方法的思想，设计出了一套基于配置管理数据库CMDB的信息资产模型，以及与之相配套的风险传递算法，先将所有的资产信息和关系信息输入数据库后，再根据相互之间的关系进行计算，某项资产受到的风险能成功传递到相关的资产，从而能分析到组织内部所有的风险，不留死角，另外由于人工干预少了，结果也更加精确。对于信息安全风险评估中最难以度量的用户行为，也借鉴用户自助理念，采取问卷调查的方式获取其威胁值和脆弱性值，并通过定期做信息安全内审，进一步将用户的威胁值和脆弱性值进行调整，使其更加接近真实的值，最终设计出了一套适合一般企业、方便可行，又比较准确地信息安全风险评估方法，并成功地推演了一次，证明可行。