随着信息技术的发展，信息系统在国家的政治、军事和经济领域的广泛应用，整个社会对信息系统的依赖性越来越大，信息系统的安全问题已成为关系经济稳定发展和国家安全的社会问题。在几十年的系统安全研究中，人们也深刻认识到：信息系统安全问题单凭技术是无法得到彻底解决的，它的解决涉及到法规政策、管理、标准、技术等方方面面，任何单一层次上的安全措施都不可能提供真正的全方位的安全，信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中，信息系统安全对信息系统进行有效的风险评估，选择有效的防范措施，主动防御信息威胁是解决信息系统安全问题的关键所在。 信息系统安全风险分析是针对包括系统的体系结构、指导策略、人员状况以及各类设备如工作站、服务器、交换机、数据库应用等各种对象，根据检查结果向系统管理员提供周密可靠的安全性分析报告，为提高信息安全整体水平提供重要依据。风险评估是网络安全防御中的一项重要技术，也是信息安全工程学的重要组成部分。其原理是对采用的安全策略和规章制度进行评审，发现不合理的地方，同时采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查，确定存在的安全隐患和风险级别。 本文首先对信息系统安全风险评估的国内外研究现状进行了深入分析，其中对风险评估相关国际国内标准进行了分类收集和研究，并对风险评估的方法进行了介绍。然后，对资产、威胁、脆弱点等风险要素和控制措施的分类和赋值进行了研究，并且在此基础上总结了目前风险评估存在的问题和进一步的需求。最后，介绍了信息安全管理体系（ISMS）标准及其实施过程，对控制措施的重要性进行了分析，提出了在ISMS中实施风险评估的方法，讨论了ISMS风险评估系统，并给出了完整的评估过程。