随着信息化社会建设的大力开展,政治、军事和经济领域开始广泛应用信息系统进行管理,整个社会对信息系统的依赖性变得越来越大,信息安全变得尤为重要。总体来说,信息安全是一个动态的复杂的分析和判定过程,贯穿于资产信息和系统管理的整个生命周期。目前网络上存在着大量的安全隐患,如黑客、病毒等,这些威胁可能来自于内部破坏、外部攻击、内外勾结的破坏,如果不定期的开展对信息安全的有效评估,一旦发生严重的信息泄露或网络漏洞,就会产生非常严重的后果,如专利的泄露、项目的丢失、代码的篡改等关系到企业生存和发展的风险事件,因此信息安全评估作为信息系统建设和安全管理的基础,有着极为重要的现实意义。本论文在充分学习信息安全评估理论的基础上,研究了信息安全风险评估领域在风险评估方面的现状、发展和存在的问题,本文的重点将放在信息安全风险评估方法的研究上,通过对常见的几种方法的研究,结合信息安全的特点,对已有的方法进行总结,并在已有方法的基础上进行改进。在深入研究信息安全风险评估中存在的问题,分析对比多种信息安全风险评估的方法后,本文认为模糊综合评价法是一个有效的方法,它可以有效的解决信息安全风险评估中存在的主观性和不确定性。在对该方法的进一步研究中,结合层次分析法,改进了权重计算的精确度,通过整体评价算子的选择,对信息安全系统做出了更全面的风险评估。论文中以某企业测试管理中心的信息安全的分析和评估为例,验证了改进的模糊综合评估方法的有效性和可行性。