从上个世纪八十年代至今，我国银行业信息化工作在三十余年如火如荼的发展中已极具成效。我国商业银行已基本形成数据化存储、电子化操作和系统化管理，银行卡、POS机、自助存取款机、网上银行、手机银行、电话银行等等已成为银行的代表性设备。它们极大地提高了银行运转的效率，为我国现代银行业的迅猛发展推波助澜。银行的业务由于信息化而越来越多样化。近年来，信息与金融服务等中间业务收入在商业银行的总收入中占比越发扩大，信息服务成为了商业银行的主要业务创新点和利润增长点。一个能提供完善信息服务的商业银行才是具有市场竞争力的银行。因为银行信息系统必须具备很高开放性，所以其安全性受到很大外部信息网络影响。商业银行日常经营和管理必然面对极大的复杂性，加上信息风险原本具有的隐蔽性和不确定性，导致商业银行信息安全问题成为国际间业内管理人员的心头大石。我国商业银行对于信息安全风险管理的研究尚处于引用和借鉴国外标准和经验的阶段，与欧美国家的先进管理水平相比仍存很大差距。与欧美银行相比，我国暂时未爆发特大损失级别的事件，其原因在于银行信息系统开放性不足以及国家强大的法律执行力。可随着我国银行业务的全面发展，信息系统风险敞口必然越来越大。尤其一些大型银行国际化战略实施已久，届时再依靠本国法律，势必会缺乏约束力。因此，如何有效管理我国商业银行信息安全风险，成为学者、国内银行机构以及监管部门必须要攻克的难题。基于以上前提，笔者开始了本题的研究。在国内研究尚处探索阶段的今天，笔者不敢造次妄言研究存在巨大创新，只希望该文能对商业银行信息安全管理工作的开展起到一定程度上的探索作用。本文主要包括三部分内容：第一部分包括第1、2章。首先从信息安全风险的概念出发，阐述了信息安全风险管理的意义和必要性，并提出研究思路和方法。接着，该部分对商业银行信息安全管理、操作风险管理的国内外研究现状作出综述，概括描述了国内外现存安全标准和信息安全管理方法论的主要内容和特点。第二部分包括第3、4、5章。该部分内容描述了我国商业银行信息化发展现状，阐述了银行信息应用存在的风险，并由内而外地分析了风险的六大特点和四方面成因。在此基础上，文章第4、5章提出了基于风险管理、安全运维、信息技术的商业银行信息安全风险管理的体系建设，并描述和分析了此体系建设的详细措施。第三部分是第6章。该部分结合具体银行网络安全解决案例，对于该管理方案进行了实践介绍和分析。