信息风险评估是风险管理和控制的核心组成部分,但实施过程中存在一些问题.基于正在修订的国家标准,针对评估实施中的问题,提出了高阶信息安全风险评估、详细信息安全风险评估和先详细信息安全风险评估再高阶信息安全风险评估3种实施模型.通过3种模型的研究,探讨不同情况下如何更好地开展信息安全风险评估工作,并将标准修订核心内容落实到工作环节中.通过实际案例表明,3种模型能够有效解决当前评估对象受限、缺少针对业务层面的信息安全风险评估、缺少业务或组织整体风险评估的依据或方法等问题.3种模型能够有效地指导信息安全风险评估工作,满足从资产到业务、从个体到整体等不同方面的评估需求,为决策和实施安全措施提供可靠的依据.