摘要：针对铁路设计院对信息系统安全风险评估的要求，提出风险评估的准备工作和风险评估的原则。根据铁路设计院的实际需求，将信息安全风险评估过程分为：确定评估范围；资产识别与赋值；威胁评估；脆弱性评估；风险分析和风险管理6个阶段。最终根据风险评估报告，形成安全解决方案。

关键词：风险评估 资产 威胁 脆弱性 分析 

单位：铁道第二勘察设计院电子计算应用技术研究所; 四川成都610051