隨著網路技術的進步，使用者對於資訊系統的存取可以說是越來越方便了，然而隨著便利所帶來的好處，卻使得網路成為企業機密資料的洩漏管道，雖然安全防護工具的逐漸出現，但安全工具的規劃與使用並不是人人都可以很容易學習管理的。 對於我們現行使用的資訊系統如何確定可以在特定的應用環境下執行無誤，足以達到所需的安全需求？而我們該如何判斷系統所提供服務的安全等級？單方面依賴系統供應商的承諾絕對不足信服，因此不論是已經存在的系統或是正在開發中的資訊系統，都需經由整體風險評估的流程來評估其安全度，確認該系統所提供的服務滿足了哪些安全需求。而另一方面，系統開發者亦可藉由整體風險評估過程來證明系統之安全特性並指出有待改進之處。 本文參考相關資訊安全標準，並研究分析了可能會影響到目前系統的資訊安全要素，利用風險評估方法，來客觀地評量系統的風險等級，並利用資訊系統的管控項目，來減低資訊系統的風險。