计算机网络已经成为人们生活的重要组成部分，它在给人们生活带来便利的同时，也带来了很多安全问题。并且随着信息技术的广泛深入应用，信息安全问题变得越来越复杂。目前，国际上普遍采用信息安全风险管理来解决组织的安全问题。信息系统运行的可靠性，与信息安全保障的准备工作水平相适应。信息安全风险管理是信息安全保障的基础性工作。国内外许多专家认为，信息安全风险管理是解决组织安全问题最有效的、科学的方法。而信息安全风险评估是信息安全风险管理的基础，如何对组织进行信息安全风险评估，确认组织存在的安全漏洞并及时修补，最大限度地降低组织的安全风险，已经成为信息安全领域研究的一个重要内容。 本文介绍了信息安全的相关概念和组织实施信息安全风险评估的流程，在国内外常见的几种信息安全准则的基础上，构造了基于资产、威胁、弱点的风险评估模型，并对风险评估模型中的风险分析阶段进行详细分析。本文中给出的信息安全风险分析方法是基于资产的、定量分析与定性分析相结合的风险分析方法。 信息安全通常强调CIA三元组的目标，即机密性、完整性和可用性，本文对资产采取CIA赋值。对资产、弱点以及威胁可能性采取定性分析，对威胁的影响分析采取定量化。本文重点对资产、威胁和弱点的识别和赋值进行了详细的介绍，提出将层次分析法这一传统的分析方法应用在风险分析中，作为组织威胁影响性这样一个多目标、多层次、多准则、因素众多的问题进行科学评估的有效方法，提高威胁影响性评估的准确性。最后，将该风险分析方法应用于移动BOSS中的计费帐务子系统。