伴随着现代化信息技术的飞速发展,信息系统和网络等已经逐步渗透到我们社会生活的各个角落。但是,由于信息系统和网络所具有的动态性和复杂性,也就导致了他们在应用和发展中常常会受到病毒、黑客和人为破坏等因素的威胁,因此企业倘若不定期对信息系统的安全情况进行有效的评估,一旦发生严重的网络漏洞或者是信息泄露,都将会产生非常严重的后果。因此,如何保护信息系统的安全已经成为现阶段学者研究和国家以及各级组织关注的热点。只有采取科学有效的方法对信息系统的安全情况进行全面的评估,才能够及时的掌握信息系统的安全状况,进而分析出各种潜在威胁并且采取相应的应对措施,从而提高企业的整体安全水平。　　 信息安全风险评估是对信息系统所面临的威胁和存在的弱点,威胁所造成的影响,以及三者综合作用所带来的风险可能性所进行的评估。多指标综合评价是一个多学科边缘交叉、相互渗透、多点支撑的新兴研究方法,它是对被评估对象的多个指标信息加以汇总,从而得到一个综合指标,并且以此来反映被评估对象的整体情况。　　 本文在深入分析信息安全风险评估的相关理论和方法的基础上,研究了信息安全风险评估的研究和发展现状以及存在的问题,论文的研究重点是信息安全风险评估指标的选取和多指标综合评价方法选择的研究。在指标的选取上,借鉴了国内外风险评估的标准和管理方法,同时参考了大量文献资料,选取了多个有代表性的指标来对信息系统的安全状况进行风险评估；在多指标综合评估方法的选择上,详细研究了多指标综合评价中指标权重和综合评价的确定方法,通过对各种方法优劣性的对比分析,最终确定了应用改进的层次分析法和模糊综合评价来进行多指标综合评价,通过对以往的层次分析法进行改进,在层次分析法中引入模糊一致矩阵,避免了在评估过程中出现判断矩阵不一致的情况,提高了评估的准确性。　　 本文的主要工作及贡献有以下几个方面:　　 1.对传统的层次分析法进行了改进,传统的层次分析法主要存在一致性检验问题,本文中采取1-3标度法,引入了模糊一致矩阵,从而避免了出现一致性问题,增强了评估的准确性,给研究带来了方便。　　 2.克服了以往进行风险评估研究的偏主观性,将主观因素和客观因素结合起来,通过利用改进的层次分析法和模糊综合评价进行风险的综合评估,实现了定性研究和定量研究的结合,增强了风险评估过程的准确性,同时也减少了不必要的麻烦。　　 3.将多指标综合评价的思想引入到信息安全风险评估中来,仔细学习研究了信息安全风险评估的国际标准,通过对信息安全的风险因子进行分析,对信息系统的资产、威胁和脆弱性的识别,建立一个多指标综合评价体系,可以更加全面的对系统的风险进行分析和研究,这样可以使得评估结果更为准确。　　 论文所提出的信息安全风险评估方法能够较好的将定性评估与定量评估相结合,体现了评估的科学性和客观性,利用改进的层次分析法来计算评估对象的指标权重集,可以合理的量化安全风险评估指标的权重,应用改进后的层次分析法不需要进行一致性检验,计算量小且易于实现；模糊综合评价能够针对评估对象的模糊性,对评估对象和指标的不确定性客观的进行描述,从而实现对信息安全风险的准确评估。论文最后通过一个实际的信息系统安全风险评估案例来对本文所提出的方法进行验证,实验结果表明,风险评估的结果符合公司的实际风险安全状况,并为公司改善和提高信息系统的安全状况提供可靠的参考。这表明了本文所提出的信息安全风险评估方法是切实有效的。