近年来，海内外金融领域因为IT失效引起的银行损失案例比比皆是、层出不穷。如美国黑客入侵花旗银行设在连锁便利店7-11店内的自动提款机的计算机网络，并盗取客户个人识别码，从2009年10月至2010年3月，盗取至少200万美元;美国男青年阿尔伯特·冈萨雷斯领导的黑客团伙利用计算机技术疯狂作案，先后共盗取超过4000万张信用卡账号和密码……

　　在中国，银监会在2009年出台了《商业银行信息科技风险管理指引》，对信息科技风险和信息科技风险管理的目标提出了具体的指导意见。

　　如此种种，信息科技在各个行业，尤其是银行业，扮演着越来越重要的角色。银行业由于其IT系统高度密集、信息化程度高且事关国计民生，因此可以预见，随着银行业电子化程度的提高，银行信息科技面临的风险还会越来越大。

　　因此，需要加强信息科技的风险管理。

　　风险管理是一个识别风险、评价风险、控制风险的过程，最终目标是将风险控制在可接受的水平。风险评估则是对风险发生的可能性及所造成的影响进行分析，是识别风险、评价风险的过程。因此，风险管理就是风险评估、风险控制的过程，而风险评估则是风险管理的基础。

　　对于信息科技的风险管理来说，也需要以风险评估为基础。可以说，信息科技风险评估正是信息科技风险识别、计量的过程，也因此受到了各银行的重视。

　　风险评估分整体和专项两种

　　实际上，风险评估应用范围很广。风险评估不仅是风险管理过程中重要的一环，而且在安全规划、业务连续性管理以及实施等级保护等多个方面都离不开风险评估。

　　从范围来看，信息科技风险评估可以分为整体风险评估和专项风险评估。

　　整体风险评估是指对信息科技的各个方面，如治理、信息安全、信息系统开发、测试与维护、信息科技运行、外包、业务连续性管理等，进行全面的风险评估;专项风险评估则对信息科技的某一方面、某个系统或者为某个目的进行的评估。如银监会颁布的《电子银行安全评估指引》所讲的安全评估就是对电子银行各系统的风险评估，常见的专项风险评估还经常根据评估对象分为网络评估、系统风险评估等。

　　整体风险评估侧重于反映宏观层面的风险，应该全面反映影响实现IT目标的风险，可使高级管理层把握信息科技的整体风险状况，从而根据风险状况，进行战略决策，最终提升风险管理能力;专项风险评估则侧重于反映微观层面的风险，反映信息科技某一方面或者某个系统存在的风险，根据风险决定相应的风险的处置措施，降低相关系统面临的风险。他们之间关系如下图1所示：

▲

　　图1 整体和专项风险评估关系示意