当前,随着信息技术发展和社会信息化进程的全面加快,国民经济对信息和信息系统的依赖越来越大。由此而产生的信息安全问题也日益突出,必须高度重视,并有充分的对策。信息安全管理的本质是风险管理,这是因为没有绝对的安全也没有彻底的风险,安全和风险密不可分。所谓的安全的信息系统,就是通过最优的风险管理策略,把信息系统上客观存在的风险,逐步降低到一个可以接受的程度。而风险评估是风险管理的第一步工作,是保障信息安全的重要手段,其作用被越来越多的人所认可。信息系统风险评估实际上就是根据有关的信息安全测评标准,对信息资产存在的脆弱性、面临的威胁以及脆弱性被威胁利用会产生的负面影响和危害事件发生的可能性,进行科学评价的过程。对信息系统风险而言,脆弱性和威胁是原因,负面影响和可能性是结果。在信息化建设中进行信息系统的风险分析和安全管理,是一个新的和十分重要的课题,已经引起国家的高度重视。信息安全管理不单单是管理体制或技术问题,而是策略、管理和技术有机结合。本文结合不同信息系统开发方法特点,将信息系统开发的各个阶段进行了明确的划分,并将系统实施阶段的工作任务进行了有效地阐述。然后,以系统安全工程能力成熟模型(SSE-CMM)为理论指导,基于过程改善的思想,结合信息系统安全风险的特性,对信息系统实施阶段风险特点进行了阐述,给出了实施阶段系统风险的特点;并结合风险评估理论和方法,提出了信息系统实施阶段风险层次指标体系,将系统实施阶段的风险体系分为风险来源、影响范围和防范措施三个层次进行详细描述,并将为风险评估和风险控制提供了理论依据;在此基础上,本文应用了灰色多层次评价法和层次分析法的集成方法,给出系统实施阶段风险评估的计算过程,根据风险结果值可以找出企业信息系统实施过程中的风险关键点,为风险控制工作有的放矢的进行打下了坚实的基础。最后一章中,本文以实际实施案例为依据,给出实例分析,验证了模型。