由於電腦的普及和網路的快速發展，使用資訊科技已成為人們生活中不可缺少的一部份。然而，對於危害資訊安全所產生的不確定性卻普遍存在各個組織。然而回顧過去相關文獻，我們發現大部分研究均偏重於資料加密處理、網路安全防護或是電子商務安全機制建立等方面，對於以風險管理確保資訊安全的探討仍相當缺乏。因此，本文之主要目的在於討論資訊安全的需求與無法落實的原因，並從風險管理的角度，建立一套資訊安全風險評估模式，對資訊安全的風險進行有效管理。 為求達到有效評估及確保資訊安全之研究目的，本研究採用BS7799資訊安全管理規範及風險管理之方法。其模式為利用BS7799之規範，建立組織資訊安全之認知；另以此規範，在機密性、整體性及可用性三項指標下，建立資訊安全風險評估方式。在資料分析結果顯示，以BS7799為基之資訊安全風險管理模式，除了可以提供資訊安全事項的優先處理順序與相關對策外，更可彰顯示出組織資訊安全風險問題之所在，而且透過本研究模式所建立正確且全般的資訊安全概念，併以運用風險管理方法，更可以達成組織人員對危害資訊安全事件之具體認知，從而有效加以管理及規範與建立完善的資訊安全。上述各項分析結果所代表之涵意，在本文中有深入之討論。