信息安全风险评估是在具体的操作环境与任务下对特定信息系统的安全属性或安全保护能力进行的技术和管理评价，通过评估判断该系统是否满足一组特定的安全要求（安全评估标准），它是信息系统安全风险管理的前提和基础。当前，随着网络和经济全球化的发展，国家政治、经济、文化、军事和社会体系的运行由于对信息化的严重依赖而面临日益深刻的、全球化的安全风险。我国的信息化已进入以电子政务、电子商务、多媒体个人通信和金融电力等的信息网络化应用为主导的发展阶段，能否建立完善的信息安全保障体系直接关系到整个国家的正常发展，而信息安全风险评估则是信息安全保障体系建设的重要基础性工作，因此，安全评估的方法研究具有越来越重要的现实意义。 本文以信息系统安全评估方法的研究为主线，从分析综合评估方法学的概念及构成因素入手，系统地介绍了当前安全评估工作的发展状况，分析了信息安全风险评估中评估指标选取的原则和构建指标体系的方法，建立了适用本文评估方法的通用多层次评估指标体系结构。 在简要阐述粗集(Rough Set)相关理论知识的基础上，提出利用粗集理论中的知识表达系统、决策表、属性约简和属性重要度等概念及相关计算方法构建评估方法和完整的安全评估流程的思路。由于粗集方法中的属性约简、属性重要性等度量方法都是完全数据驱动的，因而基于该理论方法建立的多指标综合的评估方法有效去除了评估过程中的主观因素的影响，提高了安全评估过程的科学性和评估结果的客观性。最后，通过一个评估实例验证了本文方法的实用性。