2009年3月，中国银监会发布了《商业银行信息科技风险管理指引》（简称《指引》），代替2006年11月的《银行业金融机构信息系统风险管理指引》， 要求各商业银行从发布之日起遵照执行。这标志着银行业信息科技风险管理工作进入了新阶段。

依照国家有关法律、等级保护要求，银监会有关规定以及ISO27001国际标准的要求，商业银行应通过信息科技风险评估， 实现对商业银行信息科技风险的识别、计量、评价和控制；建立信息科技风险管理的三道防线，并通过体系的有效实施、运作、维护和完善， 使风险降低到可以接受的程度，同时提升银行的信息安全管理水平和市场竞争力。

在这种形势下，商业银行为了贯彻落实《指引》的各项规定与要求，强化信息科技风险管理工作，提高自身信息安全管理能力，需要制订相应的明确工作方案。

为达到这个目标，应以《指引》为纲指导商业银行信息科技风险管理工作的全过程，充分识别信息系统的现状及存在的问题，设计出合理的改进思路， 及相关的规划及计划。由于《指引》是纲领性的文件，不会涉及操作方法的内容，因此在项目执行过程中绿盟科技会参考其他成熟标准和规范， 如ISO27000系列标准、等级保护基本要求等。

由于商业银行实施风险管理与信息安全项目涉及内容很多，范围较广，每项工作都会占用相当的人力和时间。 鑫瑞天翔通过分析商业银行现有需求，建议在进行实施实施过程中注重风险评估阶段的调研工作，有些基础数据可以统一进行， 避免重复工作，要把一阶段的输出成果做为下阶段的输入内容。为商业银行进行《指引》差距分析时，鑫瑞天翔会同时考虑对与ISO27001的差距分析。 可采取长短期相结合、分阶段进行的方式，对项目进行整体把控，做到评估结果标准化、体系建设阶段化、安全培训持续化。项目通常分为以下两个阶段进行：

信息科技风险评估阶段：风险评估阶段主要汇总商业银行现有安全现状，为下一步建立信息科技风险管理体系进行数据采集工作。 主要以风险评估手段对商业银行现有的信息科技风险管理制度文档进行分析和梳理，整理相关制度名录，并进行总体分析。 并与《指引》要进行相关差距分析，通过现场评估调研，全面了解商业银行现有信息科技风险管理现状与监管要求之间的差异。

信息科技风险管理与信息安全体系建设阶段：是根据信息科技风险评估的结果，基于《指引》，等级保护##基本要求， 制定整体未来3年安全规划，根据差距分析报告，建立并完善信息科技风险管理框架和信息安全体系的建设，从组织体系、管理体系、技术体系和运维体系的建设， 并通过建立信息科技审计机制，不断完善信息科技风险管理体系。