信息技术的发展给现代生产生活带来便利的同时,也带来了新的风险。商业银行是现代经济的枢纽,对信息技术的依赖性和安全需求极高。同时由于商业银行的特殊性,一旦安全事件发生往往损失巨大。因此对于信息风险的控制越发重要。信息安全风险评估可以帮助信息系统的应用单位发现潜在的危机,以便及时采取方法措施,将风险降低到可控制范围内。而风险评估是建立在资产识别基础之上的。目前国家在信息安全风险评估只有指导性的规范,没有统一具体的标准,并且信息安全风险评估是一个复杂的系统工程,往往涉及到多个学科,许多时候对信息安全的评估不能只从计算机系统的角度考虑还要结合不同行业的业务需求。本文以商业银行为背景,对其信息安全风险的业务风险与技术风险做了详细的介绍,全面分析了风险产生的原因。对信息安全风险评估的基础--资产识别这一部分进行研究,并提出模型。用灰色统计的方法,对评估人员的评分数据进行灰统计量化,得到评估指标的灰统计权向量,再对其进行单值化处理,得到资产信息安全三属性的综合评价值。根据被评估单位的业务战略,采用AHP方法来确定信息安全三属性在资产重要性中的权重,得出重要性赋值。并且结合某商业银行信息系统对模型进行了实例应用分析。结果表明,灰统计评估法,克服了评估指标难以量化的问题,使结果更为客观；用AHP方法能准确根据战略目标来得出合理的权重,具有一定实用价值。