1、商業(yè)銀行作為現(xiàn)代經(jīng)濟(jì)的核心，多年來對(duì)信息化建設(shè)非常重視。在加快實(shí)現(xiàn)銀行信息化建設(shè)的過程中，商業(yè)銀行越來越關(guān)心如何保證信息化項(xiàng)目的合理性、有效性和經(jīng)濟(jì)性，以及如何確保信息系統(tǒng)的可用性和安全性。在這樣一種趨勢下，銀行信息系統(tǒng)審計(jì)與風(fēng)險(xiǎn)評(píng)估走上了銀行風(fēng)險(xiǎn)控制的前臺(tái)，成為了商業(yè)銀行信息化項(xiàng)目治理的重要組成部分。 本文討論了國內(nèi)外信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估發(fā)展方向及應(yīng)用狀況，重點(diǎn)研究信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的理論、技術(shù)和評(píng)估標(biāo)準(zhǔn)，以及銀行信息系統(tǒng)的風(fēng)險(xiǎn)控制

2、與評(píng)估方法、技術(shù)。從系統(tǒng)安全策略及組織機(jī)構(gòu)安全、系統(tǒng)物理環(huán)境、系統(tǒng)人員管理、系統(tǒng)訪問控制、系統(tǒng)運(yùn)營、軟件開發(fā)與維護(hù)、業(yè)務(wù)持續(xù)性及災(zāi)難備份、系統(tǒng)符合性要求等八個(gè)方面進(jìn)行了深入分析，提出了中信銀行信息系統(tǒng)的風(fēng)險(xiǎn)控制與評(píng)估的模型。 中信銀行是大型的股份制商業(yè)銀行，在全國20多個(gè)省份建立了分行，業(yè)務(wù)品種齊全，信息系統(tǒng)的支撐平臺(tái)先進(jìn)，信息系統(tǒng)的安全控制與評(píng)估在商業(yè)銀行中具備較強(qiáng)的代表性。本文以中信銀行生產(chǎn)系統(tǒng)的雙機(jī)熱備和系統(tǒng)監(jiān)控的風(fēng)險(xiǎn)評(píng)估

3、實(shí)例為基礎(chǔ)，提出了風(fēng)險(xiǎn)評(píng)估的方法和評(píng)估的過程。主要包括信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略和流程分析、建立基于風(fēng)險(xiǎn)的評(píng)估大綱、確定風(fēng)險(xiǎn)評(píng)估使用的技術(shù)和步驟、形成風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)問題解決與跟蹤等五大過程。 中信銀行信息系統(tǒng)的風(fēng)險(xiǎn)控制與評(píng)估模型的建立以及風(fēng)險(xiǎn)評(píng)估方法和評(píng)估過程的實(shí)現(xiàn)，對(duì)信息系統(tǒng)內(nèi)控管理的有效性、符合性做出評(píng)價(jià)，找出內(nèi)控方面存在的薄弱環(huán)節(jié)和安全隱患，提高了信息技術(shù)人員安全防范意識(shí)，加強(qiáng)了信息系統(tǒng)的風(fēng)險(xiǎn)控制，健全了內(nèi)部控制制度，為銀行信息