金融是现代经济运行的核心,商业银行是我国金融行业最为重要的组成部分。从上世纪90年代起,信息技术逐步在我国商业银行发挥作用,尤其在21世纪以来,商业银行对信息系统的依赖性越来越强,但信息系统的复杂性和开放性却成为了信息安全风险管理的困难所在。随着我国加入WTO,银行业国际化程度越来越高,技术领先、管理观念和手段先进的外资银行对我国国内商业银行形成了进一步的挑战,而国内商业银行公司治理和IT治理机制尚不完善,信息安全风险管理体系很不健全,由此带来的信息安全风险十分突出。因此,开展商业银行信息安全风险管理体系研究是一件既有必要又很重要的事情。我国国内商业银行经营同质性较高,信息安全风险管理体系通用性较强。因此,本文着重分析了A市商业银行信息安全风险管理体系的现状、存在的问题和问题带来的危害以及问题成因,在借鉴国内外信息安全风险管理相关理论和要求的基础上,指出了完善商业银行信息安全风险管理体系的关键点,并就商业银行管理的行业特性提出了IT治理的决策、执行和监督三权分立的组织架构和管理模式,明确定义了信息安全风险管理的执行架构;在综合现有商业银行信息安全风险管理体系的基础上进一步明确了信息安全风险管理的方针、策略和操作规程,以关乎商业银行信息安全风险管理最为重要的内控管理为核心,指出了信息系统哪些地方需要进行关键的流程控制和风险点控制和相应需采取的控制方法和具体措施;对管理和操作过程中如何识别信息安全所面临的威胁、系统存在的漏洞、风险管理控制的方法和风险防范的措施进行了归纳;为确保业务连续性明确了相关前提和要求并提出建设相应的应急机制;最后对体系实施的反馈和修正提出了建议。结尾部分对本次研究的过程以及研究中存在的不足和难点进行了总结,给未来在进一步完善商业银行信息安全风险管理体系中解决这些不足和难点提出了一些尝试性的思路。