随着网络技术的飞速发展,信息借助于网络快速的传播,信息系统的安全性也受到来自多方面的威胁,因而,如何保证信息系统安全也日益被提到日程。在几十年的系统安全研究中,人们也深刻认识到:信息系统安全问题单凭技术是无法得到彻底解决的,它的解决涉及到法规政策、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项工程中,信息系统安全风险评估占有重要的地位,它是信息系统安全的基础和前提。信息安全风险评估分为自评估和他评估两种类型,其中,自评估是组织为了定期了解自身安全状态而进行的一种评估活动,在组织信息安全管理中有着重要的作用。为了使组织自我的风险评估工作更具科学性和合理性,有必要在进行评估前确定一个评估实施的流程和方法;并且风险评估中需要采集大量的数据,评估过程相当复杂,系统需要保留所有采集数据以备日后查询、核对、检验、分析,而且需要评估人员具有丰富的评估经验。因此,开发设计有效的评估辅助工具对于缩短评估周期、节省人力物力、保证评估实施的科学性和有效性都至关重要。本文首先介绍了信息系统的安全以及信息系统风险管理和风险评估的背景知识,在研究了国内外相关标准的前提下提出了一套自评估的方法,并对具体的实施进行了分析,这些对具体的评估活动有着重要的指导作用。在这个风险评估流程基础上,给出了一个有效的风险评估辅助工具的设计方案。本方案中,根据风险评估涉及要素多、过程复杂、不易实施等特点设计了内容丰富的信息库,包括了资产、威胁和脆弱点的分类及分级等重要信息,使用户可有效地对要素进行识别和赋值。同时,方案的设计能够为识别出的威胁提供控制措施,并在评估的最后,按照矩阵法对系统风险值进行计算,使用户清晰地了解信息系统安全状况,并采取有效的控制措施。