近年来,随着信息技术的快速发展,信息系统在各行各业中得到了广泛应用。信息系统在给企业带来了经济效益的同时,与之相关的安全事件也在急剧增多。如何在应用信息化过程中更好的控制信息风险,成了企事业单位迫切需要解决的一个重要问题。IT治理的目的之一就是通过平衡信息技术和过程的风险,增加企业价值,确保实现企业目标。因而IT治理成为信息化建设和应用过程中非常重要的一项工作。其中针对信息系统的风险控制是IT治理过程中的一个重要部分,其研究受到了越来越多的企事业单位的重视。基于IT治理的信息系统风险控制不仅能降低信息系统受到的风险危害,为企业信息化的应用保驾护航,同时,它还可以有效地利用信息技术和企业资源,实现企业的战略目标。本文首先对信息系统风险进行了分析,查阅和分析了目前流行的IT治理标准及风险管理框架,对比分析了国际流行IT治理标准COSO的ERMF模型和COBIT模型特点。在此基础上,以企业战略目标为主导,以ERMF与COBIT框架为参考,将ERMF的控制理论与COBIT的过程域结合起来,并引入系统审计的方式来监控风险控制过程,构建了基于IT治理的层次风险控制框架ITG-HRCM;其次,针对国内企事业单位风险控制特征,基于信息系统的风险控制框架ITG-HRCM,结合一般风险管理过程(PDCA),从战略目标、风险评价和审计控制三个层次分别对风险控制过程进行了划分,构建了信息系统风险控制过程HRCM-PDCA;再次,针对风险控制过程HRCM-PDCA的风险识别和评估,本文了研究探讨了基于统计学习的信息系统风险识别和量化评估方法；最后,以某信息系统为例,应用本成果对其进行风险的分析、识别和控制,验证了本成果的有效性。