【51CTO.com 綜合消息】近年來，海內(nèi)外金融領域因為IT失效引起的銀行損失案例比比皆是、層出不窮。如美國黑客入侵花旗銀行設在連鎖便利店7-11店內(nèi)的自動提款機的計算機網(wǎng)絡，并盜取客戶個人識別碼，從2009年10月至2010年3月，盜取至少200萬美元；美國男青年阿爾伯特•岡薩雷斯領導的黑客團伙利用計算機技術(shù)瘋狂作案，先后共盜取超過4000萬張信用卡賬號和密碼……

在中國，銀監(jiān)會在2009年出臺了《商業(yè)銀行信息科技風險管理指引》，對信息科技風險和信息科技風險管理的目標提出了具體的指導意見。

如此種種，信息科技在各個行業(yè)，尤其是銀行業(yè)，扮演著越來越重要的角色。銀行業(yè)由于其IT系統(tǒng)高度密集、信息化程度高且事關(guān)國計民生，因此可以預見，隨著銀行業(yè)電子化程度的提高，銀行信息科技面臨的風險還會越來越大。

因此，需要加強信息科技的風險管理。

風險管理是一個識別風險、評價風險、控制風險的過程，最終目標是將風險控制在可接受的水平。風險評估則是對風險發(fā)生的可能性及所造成的影響進行分析，是識別風險、評價風險的過程。因此，風險管理就是風險評估、風險控制的過程，而風險評估則是風險管理的基礎。

對于信息科技的風險管理來說，也需要以風險評估為基礎�？梢哉f，信息科技風險評估正是信息科技風險識別、計量的過程，也因此受到了各銀行的重視。

風險評估分整體和專項兩種

實際上，風險評估應用范圍很廣。風險評估不僅是風險管理過程中重要的一環(huán)，而且在安全規(guī)劃、業(yè)務連續(xù)性管理以及實施等級保護等多個方面都離不開風險評估。

從范圍來看，信息科技風險評估可以分為整體風險評估和專項風險評估。

整體風險評估是指對信息科技的各個方面，如治理、信息安全、信息系統(tǒng)開發(fā)、測試與維護、信息科技運行、外包、業(yè)務連續(xù)性管理等，進行全面的風險評估；專項風險評估則對信息科技的某一方面、某個系統(tǒng)或者為某個目的進行的評估。如銀監(jiān)會頒布的《電子銀行安全評估指引》所講的安全評估就是對電子銀行各系統(tǒng)的風險評估，常見的專項風險評估還經(jīng)常根據(jù)評估對象分為網(wǎng)絡評估、系統(tǒng)風險評估等。

整體風險評估側(cè)重于反映宏觀層面的風險，應該全面反映影響實現(xiàn)IT目標的風險，可使高級管理層把握信息科技的整體風險狀況，從而根據(jù)風險狀況，進行戰(zhàn)略決策，最終提升風險管理能力；專項風險評估則側(cè)重于反映微觀層面的風險，反映信息科技某一方面或者某個系統(tǒng)存在的風險，根據(jù)風險決定相應的風險的處置措施，降低相關(guān)系統(tǒng)面臨的風險。他們之間關(guān)系如下圖1所示：

圖1 整體和專項風險評估關(guān)系示意

風險評估可劃分為三個階段

風險是對實現(xiàn)目標有所影響的事件的發(fā)生的可能性。從概念可以看到，風險有影響及可能性兩個屬性，而影響是由資產(chǎn)的價值與資產(chǎn)存在的弱點決定的，可能性是由資產(chǎn)面臨的威脅及資產(chǎn)存在的弱點決定的。因此風險評估需要對資產(chǎn)、弱點及威脅進行綜合分析。

風險評估工作一般有以下幾個步驟：

步驟1：描述分析評估對象，確定其目標或者價值

步驟2：識別評估對象存在的弱點

步驟3：識別評估對象面臨的威脅

步驟4：通過分析弱點及威脅，確定事件發(fā)生的可能性

步驟5：通過分析資產(chǎn)及弱點分析事件如果發(fā)生所造成的影響

步驟6：通過已經(jīng)分析出的可能性和影響確定風險等級

步驟7：根據(jù)風險等級提出風險處置建議

這幾個步驟可劃分為風險識別、風險分析、風險定級三個階段，如下圖所示：