在信息技术迅速发展,信息系统广泛应用的同时,信息系统的安全问题己成为关系到经济稳定和国家安全的社会问题。信息系统安全是一项复杂的系统工程,信息系统的风险评估在这项系统工程中具有核心的地位,它是信息系统安全的基础和前提。因此,必须对信息系统进行有效的风险评估。在对信息系统进行风险评估时,由于信息不完全、运行机制不确定、决策不清晰,因此不易准确量化。灰色系统理论是处置少数据不确定性问题的理论,本文借鉴灰色系统理论特性和评估方法,提出了风险灰统计评估法,并在风险灰统计评估法的基础上结合层次分析法建立了信息系统风险灰统计综合评估模型,并详细描述了评估的具体步骤,然后应用风险灰统计综合评估模型对某商业银行信息系统进行风险综合评估。主要贡献体现在如下几个方面:一是本文提出了风险灰统计评估法。以基于风险等级的灰类和白化权函数为基础,对评估专家的评分数据进行灰统计量化,得到评估指标的灰统计权向量,再对其进行单值化处理,得到评价指标的综合评价值,从而确定评估指标的风险等级。二是本文建立了风险灰统计综合评估模型。首先将信息系统涉及的主要风险因素按其关联隶属关系构成递阶层次结构,然后依次划分风险等级,专家评分、确定评估灰类、计算指标权重、对底层指标灰统计评估,最后采用逐层加权重综合评判的方法评估整个信息系统的风险等级。三是应用风险灰统计综合评估模型对某商业银行信息系统进行风险综合评估。结合我国商业银行信息系统的结构、风险特点和风险因素,从信息流程管理以及技术的角度构建商业银行信息系统的风险评估体系。然后应用风险灰统计综合评估模型对某商业银行信息系统进行风险综合评估,确定了该商业银行信息系统各风险因素和总体风险等级,并给出风险控制建议。结果表明,风险灰统计评估法,克服了评估指标难以量化的问题,使结果更为客观;风险灰统计综合评估模型能够比较充分地利用评估指标所包含的信息,具有良好的操作性,对实际工作有一定的参考价值。