为了有效防范银行信息系统风险监管，银监会正式颁布了《银行业金融机构信息系统风险管理指引》，以促进我国银行业信息系统安全、持续、稳健运行。 详细内容请看下文浅谈商业银行信息系统风险评估。

作为基层银行，就要认真学习商业银行信息系统的特点，建立适合商业银行风险特征的评估模型，运用先进的风险评估方法，逐步完善信息系统风险评估的流程，并通过信息系统风险评估的手段，保障企业信息资产的安全，确保系统数据的完整，使商业银行适应复杂的运行环境，满足日益强化的风险管理需要。

商业银行信息系统风险评估模型基本上可以划分为基于业务风险控制的风险评估模型和基于信息技术控制的风险评估模型。商业银行信息系统按业务划分，主要业务模块包括柜面业务系统， ATM、POS、网上银行、电子商务支付和客服中心等，其中柜面业务子系统包括：存取款、贷款、信用卡、中间业务、国际业务、结算、代收代付等。其商业银行的业务功能结构如图1。

以上可以看出，基于业务风险控制的风险评估模型是针对业务流程的控制和业务的风险管理，是信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于管理缺陷产生的操作、法律和声誉等风险[1]。

另一类是关于技术控制的风险评估模型。这类模型建立在相关的信息安全标准之上，主要考虑的是安全技术的实现架构和实现方式，并以此来评估系统的技术风险。银行的安全架构是由物理设备安全、网络安全、交易安全和数据完整性安全等，其中交易安全包括：密码技术、身份认证和安全交易技术。其层次结构如图2。

随着信息技术应用的普及，网上银行、手机银行飞速发展，随着银行业务的拓展，各种中间业务等银行新型业务和金融产品的出现，银行信息系统开始不同程度向外界开放，对银行开放信息系统的依赖越来越强。加上各商业银行实行数据大集中，将过去保存在基层的存贷款等业务数据集中到高层数据库存放，导致单笔交易所跨越的网络环节越来越多，银行信息系统对通信网络依赖程度越来越高。