对IT风险的管理活动。狭义的IT风险管理，特指组织围绕IT风
险所开展的具体的识别、计量、监测和控制活动。如未特指，本文
所指IT风险管理是广义的概念。
4
2、问题的提出 必要性：IT风险是瞬间能导致一家银行倒 闭的风险。
数据集中化、业务系统化、系统网络化、渠道多元化 破坏性大 、影响面广、隐蔽性高、专业性强
风险监测
风险控制
9
域和流程的分解？
IT风险管理
管理域1 IT系统建设
管理域2 IT系统运维
管理域3 信息安全管理
…
流程6
流程1 项目管理
流程2
流程3 变更管理
流程4
流程5 物理安全
…
系统开发
…
配置管理
…
网络安全
监测 评估 控制
监测
监测 评估 控制
监测
监测 评估 控制
监测
…
评估 控制
…
评估 控制
…
评估 控制
2、审核重要项目
IT风险评估： 评估项目实施过程风险 控制情况
汇报提纲
选题背景
IT风险管理模型的提出
IT风险管理评价体系的建立
案例分析 结论与展望
17
1、评价的目的
掌握IT风险管理情况 查找差距
分析原因
持续改进。
18
2、评价标准和方法
评价标准：
评价IT风险管理的好与坏的参照物 。
信息科技风险管理指引》
《巴塞尔新资本协议》将IT风险作为操作风险的
一个重点进行防范。
3
1、基本概念——IT风险管理
通过建立有效的机制，实现对商业银行IT风险的识别、计量、监测
和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提
高信息技术使用水平，增强核心竞争力和可持续发展能力。 —— 《商业银行信息科技风险管理指引》 相关概念：包括IT治理、信息安全管理、IT内部控制、IT审计、业 务连续性管理、IT项目建设、IT运行管理等，不同概念的侧重点各 不相同。 本文所指IT风险管理分为广义的概念和狭义的概念，广义的IT风险 管理，涵盖上述概念的有关内容，将组织的IT管理活动都视为
15
4、举例
IT风险监测：
决策层 1、掌握重大项目进展 情况。 2、掌握IT项目资源配 置情况 IT风险监测： 管理层 1、掌握项目管理情况。 2、掌握IT项目资源配 置情况 IT风险监测： 执行层 1、掌握系统功能需求。 2、掌握系统设计方案 IT风险评估: 1、系统设计方案风险 评估。 2、系统功能、性能和 安全性测试。 管理流程:项目管理 管理域 16 :IT系统建设
全等级保护管理办法
7
汇报提纲
选题背景
IT风险管理模型的提出
IT风险管理评价体系的建立
案例分析 结论与展望
8
1、基本框架的提出
1、业务连续性 2、信息安全性 3、业务发展 风险评估 1、风险识别 2、风险计量
3、风险评估
IT风险 管理目标 1、排定风险控制 的优先级 2、采取具体措施 控制风险
1、收集和监测 2、发现和预警
来源：1、国家有关制度和规定 ；2、国际上普遍认可
和采用的标准
方法：平衡记分卡有关评价指标的建立方法。
19
3、平衡记分卡
20
4、评价方法
1、风险活动 2、关键控制点 3、评价指标
21
3、评价体系的建立
1、战略发展目标 商业银行业务发展总目标 IT风险管理的目标，包括业务连续性目标、 信息安全目标和业务发展目标 8个IT管理域 每个管理域包括若干管理流程，共21个管理 流程 每个流程从决策、管理、执行三个层面和监 测、评估、控制三个方面包括若干关键控 制点 每个关键控制点包括若干评价指标
22
ห้องสมุดไป่ตู้
2、内部控制目标
3、关键成功因素
4、关联流程
5、关键控制点
6、评价指标
3、评价体系的建立
共设计94个指标，指标体系如下图所示：
23
3、评价体系的建立
指标类型评分方法：
专家打分法
IT风险管理评价总得分=∑（子领域得分*子领域权重）
IT风险管理评级 ：
弱：(0<IT风险管理评价得分<=50) 中弱：(50<IT风险管理评价得分<=70) 中强：(70<IT风险管理评价得分<=90) 强：(90<IT风险管理评价得分<=100)
12
IT风险管理的层次？
提出IT发展和风险管理的总体要求，建立IT 决策层 风险管理组织架构，进行IT发展和风险管理 重要决策
管理层 落实决策层关于IT发展和风险管理的总体要
求
执行管理层制定的管理政策、制度和流程 执行层 ，落实改进措施
13
3、基本框架的划分——按层次划分
14
4、最终框架的建立
IT风险评估：
1、评估现有IT项目管 理组织架构有效性。
IT风险控制：
1、建立项目管理组织机构。 2、涉及全局的IT项目建设 的组织协调 IT风险控制： 1、制定项目管理制度，对 项目管理流程进行规范 2、明确项目建设过程中对 项目风险评估的要求。 IT风险控制： 1、完善系统设计方案。 2、完善系统功能、性能和 安全性。
管理现状：IT风险管理能力亟待提高
人力资源紧张、监督评价机制缺失、风险防范能力弱
难点：缺乏有效的“操作指南”
种类繁多的理论、标准、制度、方法 如何入手？如何评价？无所适从
5
3、研究目的
借鉴国内外有关IT风险管理的理论、标准和规范， 提出IT风险管理的一般框架，建立相应的评价体
商业银行IT风险管理框架 及评价体系研究
学生：陈云龙
导师：唐勇副教授 二零一二年六月
汇报提纲
选题背景
IT风险管理模型的提出
IT风险管理评价体系的建立
案例分析 结论与展望
2
1、基本概念——IT风险
IT风险是指信息科技在商业银行运用过程中，由
于自然因素、人为因素、技术漏洞和管理缺陷产
生的操作、法律和声誉风险。 ——《商业银行
系
该IT风险管理框架和评价体系能兼容现有的标准
和规范，且简单易懂、指导性强
6
4、参考依据
理论和方法：管理层次理论、平衡记分卡；风险 管理、公司治理、IT治理相关理论。
标准：COBIT、ITIL、ISO 17799/27001、信息安
全风险管理指南（GBZ_24364-2009）
制度：商业银行信息科技风险管理指引、信息安
10
2、基本框架的划分——按域维度
11
2、基本框架的划分——按域维度
域和流程的定义：总结各标准和规范的异同点， 进行整合归并。
8个域：IT治理 、IT风险管理 、IT审计 、IT系统
建设 、IT系统运行 、业务连续性管理 、外包管
理 、信息安全管理
每个域下定义若干流程，共21个流程：