信息系统风险评估已得到国际社会的普遍重视，风险评估的重点也从操作系统、网络环境发展到整个管理体系。西方国家在实践中不断发现，风险评估作为保证信息安全的重要基石发挥着关键作用。在信息安全、安全技术的有关标准中，风险评估均作为关键步骤进行阐述，如ISO13335、COBIT、BS7799-3等。

  我国的信息系统风险评估工作目前还处于起步阶段，还没形成一套成形的专业规范，缺少一支能够全方面开展信息系统风险评估的人才队伍。目前我国所进行的一些信息系统风险评估的探索和尝试以及开发的一些计算机审计软件还大都停留在对被评估单位的电子数据来进行处理的阶段。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动的应用场景范围，运用传统的信息技术和风险评估知识已经不能够实现真正意义上的“风险基础模式”的风险评估，这些都影响到我国IT治理和信息系统风险控制的实施。

  随着商业银行经营管理活动对信息技术的高度依存，信息科技风险控制已成为商业银行风险管理的重要内容，并需要从战略的角度将信息系统与实现公司治理的总体目标紧密联系在一起。因此，解析国内银行信息系统风险评估的现状及存在的问题，并根据国际经验与我国真实的情况进行差异性分析，最后，找到我国银行业信息系统风险评估的有效方法，由此，实现信息系统风险评估在国内银行业质的飞跃。

  在目前所应用的风险控制与评估模型中，基本区分为两类，一类是基于业务风险控制的风险评估模型，这类模型的基础是传统的风险评估理论，因此更看重于业务流程的控制和业务的风险管理;另一类是关注于技术控制的风险评估模型，这类模型建立在相关的信息安全标准之上，主要考虑的是技术的实现架构和实现方式，评估系统的技术风险。

  银行在面对实际的信息风险时，要建立定位于信息全面管理的风险评估模型。因此，必须结合业务风险模型和技术风险模型的相关方法，通过分析系统自身内部控制机制中存在的薄弱环节和危险因素，发现系统与外界环境交互中不正常和有害的行为，完成系统弱点和安全威胁的定性分析，在银行信息系统内部风险各要素之间建立风险评估模型，如图3所示。

  信息系统的风险评估模型由三个基本元素组成，分别是银行核心业务系统、银行信息系统风险管理和风险评估的方法和技术。

  银行核心业务系统是业务运转的基础，是商业银行固有风险的体现，它通过硬件平台的支撑、应用软件的设计、数据资源的管理，实现银行业务职能。

  银行信息系统风险管理，是商业银行控制剩余风险的能力。它最重要的包含系统建设风险控制、系统数据完备性、系统功能实现、业务流程风险控制、数据迁移等6个方面。

  风险评估的方法和技术，是风险评估和控制的手段。它针对信息系统风险管理的需求和特点，采用不一样的风险评估方法和技术，识别固有风险和剩余风险，对银行信息系统来进行整体风险的评估。

  本站系本网编辑转载，会尽可能标注明确出处，但不排除无法标注明确来源的情况，转载目的是传递更加多信息，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本网联系， 来信: 我们将在收到邮件后第一时间删除内容！

  [声明]本站文章版权属于原本的作者所有，内容为作者本人观点，不代表本网站的观点和对其真实性负责，本站拥有对此声明的最终解释权。

  4月2日：工信部规模以上电子信息制造业增长48.5%；中芯国际宣布全线日：互联网公司完成业务收入1990亿元；华为去年营收增长3.8%

  3月29日：华为小米等手机应用商店暂停下载耐克、阿迪达斯等App；鸿蒙系统即将出世

  3月26日：过去4年中苹果收购的AI公司数量最多；亚马逊发布三驾马车中国业务战略

  3月25日：华为将投入超2亿美元建设生态；密斯不看好金融科技公司发行数字币

  3月24日：1-2月电信业务收入2373亿元；百度汽车最迟2024年量产

  3月23日：2020四季度融合系统同比微弱增长0.2%；银行推广数字人民币货币钱包

  /g,); str = str.replace(/[ ]/g, ); return str; } var title = 商业银行信息系统风险评估模型的研究与实现[3]; var description = clearBr( ); var thumb = ; var url =