随着各类组织信息化程度的提高，信息系统越来越复杂，在业务运作的过程中生成大量的数据，组织的发展对信息的依赖程度也越来越大，这样信息安全管理成了组织风险管理的重要组成部分。如何保障信息安全是每个组织所面临的共同问题，信息安全风险逐渐被引入组织的管理体系当中。信息安全风险评估为保障信息的安全提供了最强有力的支持和对策，也越来越成为人们所关注的焦点和研究的课题。目前，我国也正在制定相应的风险评估及风险管理指南。国际上的风险评估指南基本上比较注重可操作性和通用性，对于风险评估的过程描述的比较清晰，也强调了风险评估的准备阶段的要求和任务。本文首先对信息安全及风险评估的相关概念及现状做了介绍，其次回顾了信息安全风险评估的发展历程，然后详细的阐述了风险评估及两个重要组成——标准体系及评估的过程和方法，最后根据被评对象的业务特点选择《NISTSP800-30》作为评估标准来评估全国普通高校招生系统。 网上招生，就是通过计算机网络传递高考招生工作的各种信息，用管理信息系统控制整个招生流程的一种新的招生模式。其目的在与提高招生工作的信息化程度，提高招生工作的效率，减轻招生工作的通信联络负担。它改变了传统的以纸质档案材料为唯一介质的招生模式，所有考生档案材料、院校招生计划等信息都实行电子化，录取工作中的所有信息都以电子数据的形式通过网络在招办与各院校之间传递。普通高校招生关系人民群众的切身利益，从2000年试点实施网上远程招生以来，网上招生系统就倍受社会关注，网上招生系统的安全也成为能否顺利开展招生工作的关键点，对于安全工作我们一直都在查缺补漏，随着业务量的增加和威胁源的扩大，每年都在运用不周的手段来提高系统的安全性和稳定性，但是从来没有对整个招生的大系统进行一个比较客观全面的风险评估。 本文做了以下几项工作：(1)总结归纳了信息安全风险评估的标准体系和信息安全风险评估的常用方法；(2)详细叙述了《NISTSP800-30》的评估步骤，并说明了选择它评估招生系统的依据；(3)在评估中结合其他评估标准建立输入/输出模型，改进了《NISTSP800-30》的评估步骤；(4)剖析了网上招生系统的业务流程，对网上招生系统进行评估，并提出改进意见便于进一步完善招生系统的安全措施。