众所周知，对于银行这样一个重要的信息系统，包括网上旷工、蠕虫、操作不当等任何网上风险都可能对核心业务系统造成巨大影响，合规性审计是解决这个问题的有效方法。

近年来，银行IT系统对银行业务的发展起到极大的推进作用。同时，随着银行业务对IT系统的依赖程度越来越高，IT风险对业务风险的影响也越来越大，而IT风险中70%以上属于操作风险，即由人工操作不当（无意或故意）引起的风险。因此，有效地控制IT风险，尤其是操作风险，对银行业务的安全运营至关重要。

因此，合规性审计成为被行业推崇的有效方法。就信息安全审计而言，目前主要是合规性审计。信息安全合规性指银行在建设与运行IT系统中的行为需要符合相关的法律、标准、规范、文件精神的要求。

目前以四大银行为代表的国有银行均已制订了成文的信息安全策略。信息安全策略的贯彻执行需要相应的检查手段，信息安全审计作为银行风险控制的主要内容之一，是检查安全策略落实情况的一种手段。

银行信息安全审计需求

我们可以从操作风险生命周期的角度分析信息安全审计在操作风险控制中发挥的作用。操作风险成为现实的事件（或者事故）一般经历三个阶段：隐患、诱发、已发生。

导致存在操作风险隐患的原因有两点：一是信息安全策略本身存在漏洞；二是信息安全策略没有得到很好的贯彻执行，尤其是缺乏相应的技术保障措施。

诱发操作风险的原因则多种多样。无论是人为的有意越权访问或者无意误操作，还是各种安全事件（病毒感染、蠕虫爆发、恶意程序植入等），都会把风险变成实实在在的损失。

操作风险发生后表现为安全事件（事故），对事件（事故）的处理通常遵循如上图所示的流程。

来源：赛迪网