当前我国对信息安全风险评估的研究尚处于起步阶段，进行风险评估的工具也比较缺乏。为了在构建信息安全风险评估体系之初就对其整体规划予以关注，从信息安全风险评估的当前现状出发，结合各种风险评估相关标准，设计了一种信息安全风险评估的综合框架，该框架具有开放性和综合性，同时有利于分布式结构的部署。最后对利用此框架开发风险评估工具的有关问题进行了探讨。