本文作者在對信息系統(tǒng)安全風險評估理論和方法進行深入研究的基礎(chǔ)上，根據(jù)自身參
與信息系統(tǒng)安全風險評估的工作實踐，提出了一種基于Web 的信息系統(tǒng)安全風險評估工具的設(shè)計思路，以解決安全評估標準的可操作性和具體實施與應(yīng)用。
《BS7799 國際標準》將信息安全定義為：信息的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持。隨著信息技術(shù)的飛速發(fā)展，信息安全的內(nèi)涵從最初的CIA屬性進而又發(fā)展為“攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）”等多方面綜合的基礎(chǔ)理論和實施技術(shù)。當今時代，國際上圍繞信息的獲取、使用和控制的斗爭愈演愈烈，人類對信息和信息系統(tǒng)安全的認識已上升至維護國家安全和社會穩(wěn)定的高度。
信息系統(tǒng)安全應(yīng)該從系統(tǒng)工程的角度來看待，而在這項系統(tǒng)工程中信息系統(tǒng)安全風險評估占有重要地位，它是信息系統(tǒng)安全的基礎(chǔ)和前提。信息系統(tǒng)安全風險評估是通過脆弱點發(fā)現(xiàn)、威脅分析等手段對信息系統(tǒng)的安全風險狀況進行掌握和了解，即利用定性或定量的方法，借助于風險評估工具，確定信息資產(chǎn)的風險等級和優(yōu)先風險控制，在風險數(shù)據(jù)分析的基礎(chǔ)上，對改進與完善網(wǎng)絡(luò)信息系統(tǒng)現(xiàn)有安全水平提供建議。
在信息系統(tǒng)安全風險評估中，評估工具的設(shè)計與開發(fā)一直是研究的重點。本文作者在對各類評估標準進行深入分析與研究的基礎(chǔ)上，結(jié)合自身實際工作經(jīng)驗，提出了一個基于Web 的信息系統(tǒng)安全風險評估工具的設(shè)計方法，該評估工具圍繞著信息系統(tǒng)安全風險評估流程，降低了評估過程中的主觀性和評估成本，提高了評估的效率和準確性。