当前,随着信息技术的发展,社会经济对信息和信息系统的依赖越来越大,由此而产生的安全事件日益增加,安全问题也层出不穷,必须高度重视。要实现信息安全,不仅需要从安全技术和安全产品方面来实现,更应该从信息安全管理的角度来考虑。信息安全管理通过风险评估模型来识别风险大小,按照制订的风险管理策略和安全控制措施把风险降低到一个可接受的程度,以实现相对的信息安全。在信息安全管理体系建设过程中,风险评估是第一步工作,风险评估的结果决定了组织应该采取的安全策略和在信息安全上投入的资源和人力,同时直接影响了组织的运营和业务。因此,风险评估是实现信息安全管理的关键和保障。本文深入学习和研究信息安全风险评估相关理论和ISO 27001标准,对比分析了国内外常见的风险评估模型和方法,提出了改进的风险评估模型和风险评估值计算方法,使改进的风险评估模型与信息安全管理体系更好地结合,同时使计算的风险评估值更加精确,为组织采取更优的风险控制措施打好的基础。在实践中,改进的风险评估模型和风险值计算方法在某保险公司的信息安全管理体系建设项目中得到有效实施,取得了较好的效果,并通过了ISO 27001国际标准认证。