网络技术的发展在给人们带来便利的同时也带来了巨大的安全隐患。随着信息和网络技术的广泛应用，信息安全己成为研究的热点问题。越来越多的企业组织和政府部门将业务持续性管理列为重要的工作日程，因此，针对灾难备份与恢复系统风险评估体系的建立将成为信息安全领域的一个重要研究课题。 本文以业务持续性管理(BCM)理论体系框架作为研究基础，以保证企业组织业务持续性运营管理为核心，遵照信息安全的国际标准，针对信息灾难备份与恢复系统，提出了以风险管理为核心理念的信息安全风险评估模型，详细论述了以该模型为主导的风险评估方法，并且以风险指标为指导，建立了一套灾备恢复实施流程模型，并通过实际的信息安全风险评估项目加以实施和验证。 本论文篇章安排主要包括：信息灾备概述；业务持续性管理(BCM)理论；灾备风险评估；灾备恢复能力指标体系和灾备恢复实施流程设计五个部分构成。其中基础概念和理论介绍主要集中在第一、二章节，核心部分为灾备风险评估和灾备恢复能力指标体系两个部分，主要集中在第三、四章，第五章灾备恢复实施流程模型设计，是建立在前两章基础之上，为核心部分内容的延伸。 在本文中研究工作包括以下几个方面： 首先，综述国内外灾难备份与恢复相关概念、标准及组织情况，介绍了目前刚刚引入国内不久的业务持续性管理(BCM)理论体系，为风险评估提供了的理论框架基础。 其次，根据风险评估的几个关键因素如资产、脆弱性、威胁、安全策略、风险的相互关系，提出了相应的信息安全风险评估模型，并基于此模型，对信息资产、脆弱性、威胁分别提出了详细的评估方法和赋值方法，创新性地提出半量化的综合风险计算方法，使风险评估结果更具有科学依据。 最后，提出建立以本地和远程为区分，四级结构形式的灾难备份与恢复指标体系，对指标进行了详细描述。并根据风险评估需要分阶段设计出灾难备份与恢复实施流程模型。