摘要： ERP内部安全漏洞与业务流程紧密结合，与业务流程呈现共生性，使信息资产的价值具有了动态属性并难以确定，因此此类安全问题不易被及时捕捉和评估。通过对ERP系统与其他信息系统在信息安全方面的区别，提出基于业务流程的ERP系统信息安全进化熵的概念，并建立了适应ERP系统特点的风险评估模型，为ERP系统的信息安全风险评估提出了新的思路。