随着社会信息化程度的不断提高，信息在国家的政治、军事和经济等领域中被广泛应用，也成为了社会发展和人们日常生活中不可或缺的动力和工具。而信息资产作为企业的一项特殊资产，对其日常生产经营活动发挥越来越重要的作用。信息资产利用得好、保护得好，就能更好地保障企业的稳定运行和业务流程的顺利实施；若信息资产面临风险，则会给企业造成损失，甚至导致企业破产等不可挽回的后果。因此，对企业信息资产进行风险评估，从而选择有效的防范措施，对企业而言尤为重要。 第一部分，论文介绍了信息资产的定义和特征，以及与信息资产风险评估相关的标准、基本原理和方法。第二部分，以风险评估的基本原理为依据，从威胁发生概率和脆弱点被威胁利用概率两个方面，建立基于制造业的信息资产风险评估指标体系。第三部分，从威胁和资产价值两个角度，分别建立信息资产风险评估模型，并以研究生阶段参与的宝钢股份风险管理项目作为案例分析，对这两种模型分别进行了应用和验证。 对于第一个模型，即从威胁事件的角度对企业信息资产的风险进行量化评估，该模型较适用于资产价值很难或无法准确衡量的情况。首先，利用所构建的风险评估指标体系，针对某一特定的威胁事件，应用AHP(层次分析法)得到各威胁发生可能性的相对权重；然后进行可能性度量等级的划分，采用模糊评价法得到威胁发生的可能性。依据上述方法，同理可以得到脆弱点被威胁利用的概率。由此，得到风险发生可能性的综合评判。对于风险发生损失的量化，选取了信息资产发生风险事件给企业带来损失最重要的四个方面，利用AHP得到其权重，同时参照《信息安全风险评估指南》对风险等级的划分方法，给出了这四个方面的相应等级。风险发生可能性和风险发生损失共同决定了信息资产的风险值。 第二个模型从资产价值角度建立，是对某一个特定资产在未来一定时期内所面临的风险进行整体度量，该方法较适用于具有绝对价值的信息资产。论文在模型中引入了金融风险度量领域常用的风险价值模型，即VaR模型，并根据威胁事件的发生是相对独立的，且可以看作服从随机分布，所以采用。Poisson分布和正态分布(在一定历史时期威胁发生频率较高时近似使用)模拟威胁事件发生的频率。同时，对于威胁的曝光系数，本文通过等级描述的方法进行了量化分析，在不同的等级下，相应地给出了脆弱点对信息资产的暴露程度以及对企业的影响。本模型采用实际资产损失值表示信息安全风险值，即使用信息资产的价值、威胁发生频率和威胁曝光系数相乘，得到某一信息资产在一定时间内所面临的风险值。同时，还可以通过信息资产安全性风险投资平衡分析，作为企业决策者关于信息资产风险管理投资决策的依据。 最后，结合前期参与的宝钢股份信息资产风险减值点管理系统设计项目，对上述两个模型分别进行了案例研究。通过对风险值的绝对量化，直观地反映出企业信息资产所面临的风险大小，并且评估方法较为客观、实用。同时，通过风险投资平衡分析，对企业如何降低信息资产的风险提供了分析依据和方法。