信息安全风险评估，是依据国家有关信息安全技术标准，对信息系统进行科学评价并为受评机构提供具体安全措施建议的过程。没有准确及时的风险评估，机构将无法对其信息安全的状况做出准确的判断。当今国内风险评估面临的最大挑战，已经不再是通用的理论方法和技术规范，而是评估方法的可操作性和有效性。论文以2005年颁布的国标草案《信息安全风险评估指南》为主要指导，并参考了GB17859-1999、BS7799、GAO/AIMD-99-139和NIST SP800-30的管理控制思想及评估方法以及文献[6]关于威胁发生可能性的计算方法，给出了一套具有可操作性的信息安全风险评估量化模型。 论文的主要成果如下： 1、管理及控制类风险量化模型:该模型的核心是建立管理控制评估的指标体系以及评估计算方法。论文从“技术”“人员”“操作”三个控制方面给出了十个大的评估项以及其下需要达到的具体评估目标。经评估者分析评估最终能得到管理控制类风险等级以及机构管理控制薄弱环节。 2、威胁类的风险计算模型:论文综合了影响威胁行为发生可能性因素，并基于从IDS获取的事件数据分析和威胁对资产脆弱性的利用，设计出了外在威胁对资产脆弱性利用的风险值的定量计算模型。 3、风险综合值计算子系统:本文在融合内在的管理控制类风险分析和外在的威胁类风险计算后，经由二者决定的评估矩阵，最终获取被评估系统风险综合值。 4、基于成对比较判断矩阵的资产赋值子系统:该子系统首先以调查表的方式，从被评估机构处获取资产的相关资料，再由评估小组分析风险对资产的影响，最终得到基于成对比较判断矩阵的资产相对值。 5、风险评估系统软件的设计与实现:根据该风险量化模型采用软件工程方法设计出风险评估工具软件，并实际运用于电子政务风险评估中，分析案例是重庆市F区电子政务外网的风险评估实践。