随着计算机网络的发展，国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大，信息安全问题日益突出，因此信息安全保障越来越受到全社会的广泛关注。信息系统安全评估作为国家信息安全基本制度，对保障各种信息产业部门的基础信息系统安全有着非常重要的作用。然而，信息系统安全评估还属于比较崭新的研究领域，已有的传统评估算法模型在有效性和动态性方面还存在许多不足。　　 本文首先描述了信息安全的现状和概念，阐述了风险评估与信息安全的关系，介绍了国内外风险评估的研究现状；讲述了信息安全风险评估的相关概念，分类介绍了几种传统的评估方法，罗列了几种典型的传统评估模型，并对其分析和评价，指出了传统评估手段的若干不足之处，并在此基础上提出了改进的三个主要思路。　　 其次提出针对不同类型的评估对象，按其属性的不同，划分为主观因素评估对象和客观因素评估对象。对这两种类型的评估对象分别采用不同的方法加以评估。同时，从评估对象的机密性、完整性和可用性赋值出发，给出了评估对象的权重计算模型。　　 接着将模糊综合分析方法引入到对主观因素对象的评估中，通过模糊聚类法，将专家打出的分数进行分析处理，剥离出偏差较大的分数，从而有效减少了评估者主观性差异对评估结果客观性的影响。　　 最后，在对客观因素对象评估的基础上，针对传统静态评估手段只关注一次性评估结果的缺陷，提出了基于构件的动态评估模型。将信息系统概化为基于构件的拓扑组合结构；将用户对信息系统的使用概化为访问路径的概念；将构件间的关联归约为独立和协同两种关系；将构件间的组合关系归约为串联和并联两种类型。当系统发生变化以后，围绕变化的构件进行讨论，确定其变化的方式和影响范围，对其余构件以及整个系统所受的影响进行评估，从而实现了基于变化的动态再评估。　　 通过本文提出用不同方法对评估对象分类进行评估的思想，使得评估手段更加灵活多样，评估结果也更加科学有效并符合实际情况。同时，本文提出的模糊综合分析方法，有效减少了评估过程中主观差异性问题。此外，本文提出的动态再评估模型，突破了传统静态评估手段的局限，充分考虑到了信息系统动态变化的特点，具有更好的广泛性和普适性。