近年来,信息技术的发展和应用给中国S银行的发展带来了深刻的影响,同时银行对信息科技的依赖也越来越强,这使得信息系统的安全性、可靠性和有效性直接影响到了S银行的安全和稳定。而S银行信息安全风险管理还处于起步阶段,面临复杂多变的外部安全形势,如何建立一个高效的银行信息安全风险管理体系,日益成为一个突出的问题。本文通过对风险管理理论、信息安全管理理论等的学习;对新巴塞尔协议、萨班斯法案、ISO27000系列标准、ISO13335、COBIT、IATF等信息安全国际法规、标准和规范,PDCA、HTP等方法,以及我国等级保护制度和中国银监会关于银行业信息安全管理的相关规定的学习;并通过分解分析及漏洞扫描等手段,对S银行存在的信息安全风险隐患进行了研究分析。最后本文根据风险分析结果,参考以上研究的风险管理和信息安全相关理论、法规、标准和规范,以及银行信息安全业界相关信息安全风险管理的最佳实践,结合S银行实际情况,提出了针对S银行的信息安全风险管理的解决方案。本文把风险管理的思想融入到对S银行信息安全管理的实践中,并根据业界的最佳实践,建立了S银行的信息安全总体框架。并针对S银行提出了建立包括政策标准,制度规范和指南、细节等分层次的信息安全政策和制度体系的方法;提出了建立包括安全认知和组织体系架构建设的组织和人员体系的方法;提出了建立包括信息安全运作流程和运作对象管理的信息安全运作体系的方法;提出了建立涵盖主要信息安全技术的信息安全技术保障体系框架的方法。