為加強商業銀行的信息科技風險管理，提升信息科技風險管理能力，09年3月份銀監會正式發布了《商業銀行信息科技風險管理指引》（以下簡稱《指引》），這是繼出臺有關《商業銀行操作風險管理指引》、《商業銀行市場風險管理指引》和《商業銀行合規風險管理指引》等一系列的監管文件之后，銀監會發布的又一重要風險管理指引。該指引適用于在中華人民共和國境內依法設立的法人商業銀行。政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、貸款公司、金融資產管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業金融機構參照執行。
　　信息科技風險是指信息科技在商業銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。它和操作風險、信用風險、市場風險一樣，是商業銀行面臨的主要風險。現階段商業銀行已經基本完成了信息化建設，在金融管制放松、業務全球化、金融創新步伐加快以及信息技術的迅猛發展的大背景下，國際銀行業金融機構的信息科技風險有增大的趨勢，國際銀行業和監管當局都日益重視信息科技與操作風險的管理和監管。目前，國際上宣布實施新資本協議的國家和地區都按照新協議的要求，明確將操作風險納入資本監管的范疇，而信息科技風險是操作風險的重要組成部分。
　　需求分析
　　合規性需求：
　　近年來，國家各部門不斷推出了各種監管要求，對IT管控領域也提出了明確的要求。其中與銀行業信息科技風險相關的法律、法規與行業監管指引有：
　　2002年，美國國會發布了SOX《薩班斯—奧克斯利法案》；
　　2004年9月30日，中國銀監會發布了《商業銀行內部控制評價辦法》；
　　2006年，銀監會發布《電子銀行安全評估指引》 、《銀行業金融機構信息系統風險管理指引》和《銀行業金融機構內部審計指引》；
　　2006年6月，國務院國資委出臺了《中央企業全面風險管理指引》；
　　2007年，公安部明確了《信息系統等級保護基本要求與實施指南》；
　　2009年3月，銀監會發布《商業銀行信息科技風險管理指引》；
　　谷安天下依據信息科技風險管理體系，從整體上分為IT治理、IT管理、IT控制與審計三個方面，并在此基礎上結合多年的行業咨詢經驗，陸續開發了IT風險管理咨詢服務與IT風險管控系列軟件系統。
　　信息安全風險管理需求
　　銀行業隨著信息化工作的不斷深入，信息系統的開發、維護與運行均面臨較大的挑戰，如何保障業務的持續運營，如何支撐銀行各項業務的風險管理，如何保障客戶與自身信息的安全，成為各商業銀行信息科技部門與風險管理部門的重要任務，因此信息科技風險的管理就顯得迫在眉睫。商業銀行針對信息科技風險需要審視：
　　? 是否對所有潛在的重大IT風險都進行了識別、評估和管理？
　　? 面對數量眾多的IT風險，應如何對其進行管理？
　　? 如何在全行范圍內推行全面IT風險管理？
　　? 如何將IT風險管理體制與企業日常IT管理和運營相融合？
　　? IT風險管理的角色、責任和義務是否合理或明確？
　　? 如何增強風險意識，培育風險管理文化？
　　《信息科技風險管理指引》解析
　　本次頒布的《商業銀行信息科技風險管理指引》共十一章七十六條，涵蓋了信息科技風險管理的各個領域，同時針對銀行現有的組織架構，對各部門也明確提出了風險管理的要求，下文將就主要條款做一個深入的解析。
　　第一章 總則，明確了指引的目標和適用范圍，指出信息科技是指計算機、通信、微電子和軟件工程等現代信息技術，在商業銀行業務交易處理、經營管理和內部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構，制訂完善的管理制度和流程。信息科技風險管理的目標是通過建立有效的機制，實現對商業銀行信息科技風險的識別、計量、監測和控制，促進商業銀行安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。
　　第二章 信息科技治理，明確提出了信息科技治理的概念，明確了信息科技風險管理的責任人，董事會的相關職責，并明確要求商業銀行應設立或指派一個特定部門負責信息科技風險管理工作，并直接向首席信息官或首席風險官（風險管理委員會）報告工作。此章最重要的是明確了商業銀行風險管理部門、信息科技部門以及內部審計部門在信息科技風險管理中承擔不同的角色和職責，互相協作共同完善信息科技風險管理的架構。
　　第三章 信息科技風險管理，明確要求商業銀行應制定符合銀行總體業務規劃的信息科技戰略、信息科技運行計劃和信息科技風險評估計劃，制定全面的信息科技風險管理策略，建立持續的信息科技風險計量和監測機制。本章是從信息科技風險管理部門的角度，提出商業銀行信息科技風險管理的事前控制（第一道防線）。
　　第四章 信息安全，明確要求信息科技部門負責落實信息安全管理職能，負責建立和實施信息分類和保護體系，通過建立有效管理用戶認證和訪問控制的流程保障業務安全，通過設立物理安全保護區域保障物理安全，通過將網絡劃分為不同的邏輯安全域保障網絡安全，通過操作系統和系統軟件的安全控制保障系統安全，同時加強信息系統、終端設備、傳輸控制、信息保護等方面的安全，并對員工進行持續培訓，通過建立信息安全體系，全面控制信息安全方面風險，此章是參考了國內外信息安全最佳實踐（ISO27000與等級保護），針對信息科技部門，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。
　　第五章 系統開發、測試與維護，明確要求對信息系統進行需求分析、規劃、采購、開發、測試、部署、維護、升級和報廢，制定制度和流程，采取適當的項目管理方法，控制信息科技項目相關的風險。采取適當的系統開發方法，控制信息系統的生命周期。應制定相關控制信息系統變更的制度和流程，確保系統的可靠性、完整性和可維護性，應制定并落實相關制度、標準和流程，確保信息系統開發、測試、維護過程中數據的完整性、保密性和可用性等具體要求。此章是針對軟件開發與項目實施部門，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。
　　第六章 信息科技運行，明確了商業銀行數據中心物理環境要求、人員崗位職責要求，并要求商業銀行制定詳盡的信息科技運行操作說明，建立事故管理及處置機制及時響應信息系統運行事故，建立服務水平管理相關的制度和流程，建立連續監控信息系統性能的相關程序，制定容量規劃應及時進行維護和適當的系統升級，制定有效的變更管理流程以確保生產環境的完整性和可靠性等。此章主要參考了ITIL最佳實踐，針對數據中心與運行部門，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。
　　第七章 業務連續性管理，明確要求商業銀行根據自身業務的性質、規模和復雜程度制定適當的業務連續性規劃，以確保在出現無法預見的中斷時，系統仍能持續運行并提供服務；定期對規劃進行更新和演練，以保證其有效性。此章主要參考了BCP最佳實踐，針對業務運營部門，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。
　　第八章 外包管理，明確商業銀行不得將其信息科技管理責任外包，應合理謹慎監督外包職能的履行，針對外包方選擇、外包談判、外包協議，外包執行中的信息安全等方面提出了明確要求，此章是針對商業銀行各部門的外包合作，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。
　　第九章 內部審計，明確商業銀行內部審計部門應根據業務的性質、規模和復雜程度，對相關系統及其控制的適當性和有效性進行監測。至少應每三年進行一次全面審計。在進行大規模系統開發時，要求信息科技風險管理部門和內部審計部門參與，進行專項審計等。此章主要針對內部審計部門職責，提出信息科技風險管理的事后控制（第三道防線）的重要組成部分。
　　第十章 外部審計，明確商業銀行在符合法律、法規和監管要求的情況下，委托具備相應資質的外部審計機構進行信息科技外部審計。此章主要從外部審計角度，提出信息科技風險管理的事后控制（第三道防線）的重要組成部分。
　　通過指引解析，我們可以看出，指引的編寫借鑒了Cobit、ISO27000、ITIL、CMM、BCP等國內外的最佳實踐，為商業銀行的信息科技風險管理指明了方向。同時，本指引從商業銀行信息科技相關的每一個主要部門的角度出發，分別提出具體的監管要求，從而使得本指引具備非常強的可操作性。
    建立適合商業銀行的IT風險管理框架

　　谷安天下依據IT風險管理原則與IT風險管理生命周期方法論，綜合通過差距風險獲得的具體需求，設計、規劃IT風險管理的目標框架，指導IT風險管理機制與體制建設。

　　組織體系建設

　　建立IT風險管理組織，采用條線與層級相結合的矩陣式管理模式;建立常設IT風險管理的專業團隊，采用虛擬團隊的方式向全行提供IT風險管理專業服務;并設立必要的實體化專業支撐中心。

　　管理流程制定

　　融合IT風險管理生命周期與主要IT流程，針對IT操作風險與信息安全風險，建立總體與具體兩個層面的風險管理流程，明確各層面IT風險評估流程的觸發機制，將風險與安全管理工作制度化、日常化，確保其有效執行。

　　控制體系建立

　　根據風險評估結果、IT風險管理原則及控制策略設計控制措施，通過完善的IT風險制度體系加以明確，并通過風險監測與再評估實現對IT風險控制的持續改進。