由於電腦的普及和網路的快速發展,使用資訊科技已成為人們生活中不可缺少的一部份。然而,對於危害資訊安全所產生的不確定性卻普遍存在各個組織。然而回顧過去相關文獻,我們發現大部分研究均偏重於資料加密處理、網路安全防護或是電子商務安全機制建立等方面,對於以風險管理確保資訊安全的探討仍相當缺乏。因此,本文之主要目的在於討論資訊安全的需求與無法落實的原因,並從風險管理的角度,建立一套資訊安全風險評估模式,對資訊安全的風險進行有效管理。 為求達到有效評估及確保資訊安全之研究目的,本研究採用BS7799資訊安全管理規範及風險管理之方法。其模式為利用BS7799之規範,建立組織資訊安全之認知;另以此規範,在機密性、整體性及可用性三項指標下,建立資訊安全風險評估方式。在資料分析結果顯示,以BS7799為基之資訊安全風險管理模式,除了可以提供資訊安全事項的優先處理順序與相關對策外,更可彰顯示出組織資訊安全風險問題之所在,而且透過本研究模式所建立正確且全般的資訊安全概念,併以運用風險管理方法,更可以達成組織人員對危害資訊安全事件之具體認知,從而有效加以管理及規範與建立完善的資訊安全。上述各項分析結果所代表之涵意,在本文中有深入之討論。