随着信息和网络技术的快速发展,尤其是国际互联网技术的广泛应用和日益普及,信息系统的安全已经直接关系到社会公众利益、企业个人利益,甚至影响到社会稳定、经济的繁荣发展,已经上升为许多国家的国家战略问题。因此如何保障信息系统的安全性已经成为国内外学者研究的重点,而风险评估正是保障信息系统安全性的有效方法之一目前,众多国内外研究者对信息安全风险评估进行了不同角度、不同方面的研究工作,但是已有的评估方法存在风险值的获取缺乏准确性,计算过程中主观性强及没有充分利用信息系统之间的关联性分析信息系统的相对风险值等问题。因此,对信息安全风险评估进行更深入的研究具有重要的意义。本论文在国内外已有的信息安全风险评估工作的基础上,提出了基于模糊灰色关联分析的信息安全风险评估模型FGRA-ISRAM (Information Security Risk Assessment Model Based on Fuzzy Grey Relational Analysis),主要完成了以下几个方面的工作：第一,对已有的风险评估指标集进行了提炼和总结,构建了一组更易于评估、更有针对性的分层指标集；并采用形式化语言对本文提出的风险评估过程进行了描述。第二,在传统的评估方法中,部分评估指标的数据值可以通过实际数据直接获得,而部分评估指标的数据值只能通过评估专家打分获得,具有一定的主观性,使得评估结果不够准确。本文采用了模糊理论原理和最大最小集去模糊化方法解决评估过程中专家打分语言的模糊性问题。第三,在风险评估的过程中,对评估指标赋予不同的权值对不同信息系统的评估结果的影响是不同的,而传统的评估方法中,一般都将评估指标赋予等权的权值,这样不能合理地反映出评估指标在不同信息系统中的重要程度。本文在评估的过程中引入了评估指标不同权值的计算方法,即采用归一法确定了评估指标权重的推荐值。第四,在评估信息系统的安全性时,信息系统之间不仅存在差异性,还存在关联性。而传统的评估方法没有考虑到信息系统之间的关联性问题。本文找出了一种分析信息系统关联性的方法,即灰色关联分析方法,通过该方法可以分析出各个信息系统所面临的风险大小的排序结果,进一步提高评估结果的准确性。第五,基于上述工作得到本文提出的风险评估模型,并将其应用于实践中,验证了该模型的可行性和有效性；开发了基于Fuzzy-GRA的信息安全风险评估辅助工具,在提高评估结果准确性的基础上,使得本文提出的评估模型更易操作,以提高评估效率。