随着国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大,信息安全保障也越来越受到业内人士的关注。而风险评估作为信息安全管理的一个重要环节,对保障企事业的基础信息系统安全有着非常重要的作用。目前国外的信息安全风险评估模型和标准,实施代价昂贵、评估周期长,难以在国内推广;而国内对于风险评估才刚刚起步,缺乏系统的理论、方法和完善的工具软件,尚无有效的风险量化模型算法和支撑软件,对扫描工具和专家经验有太大的依赖性,评估结果偏重技术或者管理层面,难以把两者有效结合。为解决这个问题,本文以2005年国际草案《信息安全风险评估指南》为背景,参照其评估流程和计算思想,给出了一套具有可操作性的,面向业务的信息安全风险评估量化模型。论文的主要工作:通过对被评估系统进行层次化分解建立面向业务的系统特征描述模型,将系统中涉及的各种因素(信息环境、信息载体和信息)进行抽象化地描述,并根据系统具体的业务流程进行层次量化分析,结合信息资产价值量的评价实现对系统可能存在的种种风险的评估。其中面向业务的系统特征描述模型是实现管理和技术结合的关键,它将系统组织管理部分纳入了被评估的范畴,建立层次化模型,将管理层面与技术层面的评估结合起来,并采用现实的攻击事件作为威胁统计的数据源,并在量化评估中将威胁与脆弱性关联起来,排除了无关脆弱性及威胁对风险值的误导作用,工作量大大减小,而评估结果更为准确,具有易操作性和通用性。