信息科技风险管理与评估体系是进行信息科技风险的识别、评估和处置，以风险评估为基础，根据风险高低以及风险偏好完善银行信息科技风险管理框架，基于银行实际情况建立可量化的信息科技风险监控指标体系，实现信息科技风险的可视、可控、可审，形成温州银行信息科技风险监测指标体系，为银行信息科技风险管理能力的持续评价提供指导依据。

信息科技风险管理思路图

风险管理框架图

风险评估体系是为了满足监管部门合规要求的风险管理体系，并不能真正体现风险管理价值所在，而是银行管理一个重要组成部分。公司需要全面实施风险智能，将会保护企业的既有价值，并创造新的价值。
通过对组织的网络体系进行深入分析，全面地对网络设备配置、网络架构、数据流等方面进行分析，从而了解整个网络的状况，发现网络中存在的安全隐患，并提出网络安全规划解决建议。
网络安全性评估主要包括如下方面：
网络设备配置
a)操作系统版本
b)认证授权
c)访问控制
d)日志配置
e)路由协议
f)网管配置
g)其他特定的安全配置
网络架构
a)网络层次
b)网络协议
c)网络流量
d)网络规范性
e)网络边界
f)网络管理
g)QoS规划
数据流分析
a)数据流向
b)关键路径
c)边界防护

风险评估模型示意图:

（1）工作任务
分析评估对象的业务目标和IT服务目标，识别实现IT目标的关键工作流程和资源，通过分析影响管理流程和基础资源配备的要素，识别关键工作流程和资源中的关键因素，主要考虑各流程要素的活动内容、关联关系、流程目的、实现方式、所需资源等，根据关键因素设计风险检查项、检查指标和评价权重，形成风险检查表。
（2）工作方法
风险监控指标的建立是在风险评估模型下实施风险评估的细化，结合银监会现场检查手册及启明星辰最佳实践进行可量化、可操作的指标设计。风险监控指标体系由三个层次组成：检查点量化评价、关键流程风险量化评价、IT子目标风险量化评价、IT目标风险量化评价，其中检查点量化评价是整体评价体系的基础，其它风险量化评价都是在检查点量化评价的基础上计算得出。
首先对检查点进行风险评价权重赋值，在完成赋值后后还将对应计算其风险值，不同流程模块中的赋值不相同，然后进行整体IT目标风险的评价，也就是计算风险总值。