信息技术是推动经济发展的重要力量,能帮助企业发展,支持企业的业务扩展和创新。随着我国企业信息化的不断深入,传统业务对信息系统的依赖日益增强,随之而来的IT架构也日趋庞大和复杂,同时日益严峻的网络安全形势和各种各样安全威胁对企业信息管理和信息安全提出了新的挑战,增加了企业的风险,信息安全管理正在成为企业信息化建设中面临的一大课题。安全问题不能简单用技术解决,信息安全的核心在于风险管理,而风险评估是风险管理的基础和前提。安全的动态性、业务和信息系统的不断变化要求企业经常开展风险评估,自评估同内审一样是企业风险控制的一种基本手段。目前评估中使用的模型和方法过于理论化、依赖于个人经验,以致操作复杂、主观性很强,不能很好地被企业使用,如何构建科学、简单、有效的自评估模型及基于模型的评估流程和方法,已成为我们必须面对和解决的迫切课题。构建信息安全风险自评估模型,需要确定资产、威胁和脆弱性三个基本要素评价指标和度量体系,其中威胁的评估是目前最困难和最主观的环节,也是本文的重点。在对目前主要的风险评估方法以及相关学者提出的评估模型研究分析的基础上,结合企业自评估的需求,通过专家访谈和问卷调查获取统计数据,应用因子分析法提炼出威胁动机、威胁能力、威胁频率、资产吸引力四个基本要素作为信息系统威胁可能性分析的评价指标;通过分析信息资产对企业的价值,结合相关标准和成果,提出从七个方面评价业务影响的信息资产价值评价方法;通过分析脆弱性与安全措施的关系,提出将考虑已有安全措施后的信息安全的三个基本方面(即机密性,完整性,可用性)对资产的影响作为信息资产脆弱性评价指标;应用层次分析法建立威胁和脆弱性的度量结构,在上述研究的基础上,基于要素之间的关系,构建出企业信息安全风险自评估模型。最后依据本文提出的模型和方法,某企业对其一业务系统进行风险自评估,通过实际案例对企业信息安全风险自评估模型进行验证。本文在最后一章给出了本研究的价值和成果,并指出了本研究的不足之处,以及未来研究需要改进的地方。