随着Internet的普及和全球信息化的不断推进,与组织业务相关的信息系统已经成为组织赖以生存的重要战略资源,保障其信息安全的重要性受到广泛关注。组织信息系统的信息安全一旦遭到破坏,不仅会使组织信息的安全属性遭受损害,而且会对组织业务运行造成巨大影响,其损失不仅包括经济方面,还可能对组织形象、声誉甚至是战略性竞争优势造成致命损伤。因此,对信息系统开展信息安全风险管理显得十分必要。已有的信息系统信息安全风险管理方法将信息系统风险分析与评估同具体的组织环境和业务背景相割裂,缺乏对风险形成过程的分析与描述,进行安全决策时单纯考虑“技术”因素、缺乏对组织决策层期望实现的多个决策目标的全面表达。为弥补上述不足,本文提出了一套信息系统信息安全风险管理的新方法ISISRM,并对该方法所涉及的关键问题进行了深入研究,为组织进行信息系统信息安全风险管理提供了一条新途径。论文的研究内容和主要贡献如下:第一,通过对基本思想、管理周期、过程与方法以及组织管理四个方面的描述,建立了信息系统信息安全风险管理方法ISISRM的整体框架。ISISRM方法利用由13个具体过程构成的流程框架为组织实施信息系统风险管理提供一套规范的程序。该方法充分体现了现代信息安全风险管理思想,具有面向组织具体的业务背景进行风险因素识别与分析,基于风险事件形成的动态过程计算风险事件频率,基于适度量化原则对信息安全风险进行度量,综合权衡多个决策目标求解理想安全方案等特点。第二,给出了通过利用图(Exploit Graph, EG)对风险事件过程进行建模的方法。建立了信息系统安全性分析模型,提出了基于该模型生成利用图的算法,并分析了该算法的计算效率。给出了基于利用图的风险事件过程建模体系框架。运用利用图对风险事件过程进行形式化描述,可模拟威胁发起者的思维过程,全面而细致刻画出威胁发起者制造风险事件的各种可能的行动方案,以及各个方案中脆弱性利用行为间的时序关系,为理解风险事件形成的动态过程提供清晰的视图。第三,提出了基于利用图计算信息系统信息安全风险事件频率的方法。其中主要包括:威胁发起者攻击尝试频率的预测方法;基于利用图计算风险事件最大成功概率的算法;根据贝叶斯网络理论计算利用图中原子利用节点的成功概率的方法。第四,提出并探讨了基于模糊NCIC(Nontraditional Capital Investment Criteria)方法的信息安全风险事件损失值计算方法。其中包括:信息安全风险事件的损失层次全息模型;用于模糊多准则评估的模糊NCIC方法;运用语言变量表示两两比较矩阵中决策者的模糊偏好信息的方法;运用模糊NCIC方法评估风险事件损失的计算流程。运用模糊NCIC方法评估风险事件损失可将风险事件损失以货币为单位地定量化,不仅能直观地反映风险事件给组织带来的危害性后果,而且便于安全决策人员对安全方案进行费效比分析,使得安全决策人员能将安全决策纳入到经济分析框架下来,从而可以使用经济学理论为信息安全管理决策提供有力的理论与方法指导。第五,建立了一个完整的信息系统安全决策框架。该框架包括安全决策启动判断、安全投资预算调控和风险控制决策三个阶段。对于安全决策启动判断阶段,在给出安全决策启动条件的基础上确定了安全决策启动判断的流程。对于安全投资预算调控阶段,设计了动态调整组织当前的信息安全投资预算的流程,建立了信息系统最小安全投资额模型,提出了求解该模型的基于模糊算子的自适应遗传算法AGABOFA;该算法采用了自适应的遗传算子,基于模糊算子进行约束处理,并且在求解的解码过程中运用总全局风险值更新算法实现对安全方案对应的信息系统残余风险的计算。对于风险控制决策阶段,建立了信息安全风险控制的模糊多目标优化模型及该模型的求解框架,提出了求解该模型的基于模糊算子的扩展Pareto进化算法SPEABOFA;该算法基于模糊算子进行约束处理,通过Pareto解集过滤器、小生境技术和优秀解培育过程的操作保证了解的多样性,加速了解的收敛过程。最后给出了在模型Pareto解集合中求解最满意安全方案的模糊多属性决策方法。基于信息系统安全决策整体框架,可以最终求解出一个整合所有安全决策人员意见、充分考虑多个决策目标且能将信息安全风险控制在可接受范围之内的理想安全方案。最后,在信息系统ISISRM理论方法研究的基础上,给出了一个信息系统信息安全风险管理的应用实例。