随着信息化的发展，生活中人们对信息技术的依赖程度越来越高，尤其是在享受信息网络技术带来便利的同时，越发感觉到有必要建立一个安全、有序、稳定的环境。然而信息系统所暴露出来的问题越来越多，越来越严重，从而，受到的攻击和破坏越发频繁，所造成的损失和影响也越来越大。所以，对信息系统进行必要的风险评估势在必行。信息化的风险与风险管理问题己经成为各个国家、国际组织所普遍关注的热点问题之一。其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。为了保证信息安全，建立信息安全管理体系已经成为目前信息安全建设的首要任务。信息安全风险评估是信息安全管理的最根本依据，也是信息安全领域内最重要的内容之一。传统的信息安全风险评估大多是根据一定的评估指标进行定性、定量分析，或者将两者结合进行综合分析;然而在量化各指标要素的过程中简化了各要素的内在含义。在信息系统日益复杂的情况下，如何对复杂信息系统进行有效的风险评估是信息化过程中面临的一个挑战。因此，需要建立信息安全风险评估模型，以方便确定和划分信息网络安全等级。信息安全风险评估是保障信息安全的一个重要方法，是风险管理理论和方法在信息化中的应用，是正确确定所要保护的信息资产，合理分析信息资产的风险点，科学合理做出决策，以达到控制风险、转移风险的一个动态过程。由于信息安全风险评估的自身特点，将灰色理论应用于信息安全风险评估，结合《信息安全技术信息安全风险评估规范》建立信息安全风险评估模型是一个有益的探讨。 本文的主要工作在于: 第一，利用信息嫡来确定风险因素的评估权系数，它可以有效克服权重选取的主观性改进现有风险评估方法中的不足;并利用集值统计方法来获取评估因素的样本观测数据。第二、借鉴灰色建模理论，将灰色理论应用到信息安全风险评估中;根据灰色理论的优势分析影响因素，建立信息安全风险评估模型。第三、利用信息嫡和灰色理论综合建立风险评估模型，最后以某公司为实例验证模型的有效性、可操作性。 本文技术难点有以下儿个方面: 第一、信息安全风险评估涉及因素众多，评估指标值的提取有难度，并且风险因素涉及的内容很多，风险评估指标体系不容易确定。本文根据实际情况进行了适当的简化，从而建立风险评估的指标体系。第二、如何建立白化权函数和隶属度的计算。在风险评估的过程中，利用灰色聚类理论进行评估需要建立白化权函数。本文根据具体情况的不同选取了不同的白化权函数及不同的域值来描述风险的隶属度。