客观地说，银行信息系统的技术安全性普遍都有相当高的水准，尤其是著名的大银行。但是为什么著名大银行的信息系统也会出现安全问题呢？

　　我们在谈论信息系统整体安全时，可以借用信息安全中的“木桶原理”。根据这一概念，可以认为在信息安全中，信息技术、业务流程和信息技术的使用者构成了信息技术风险管理的“木桶”。所谓木板的长度实际上就是这三者的安全强度。其实在很多时候，业务流程和信息技术的使用者很可能就是信息技术风险管理机制中的“短板”，也是信息系统的安全漏洞最可能的藏身之处。无论多么先进的信息系统，如果没有完整、规范的信息技术规章制度，如果部分员工、甚至个别员工没有职业道德、不严格遵守规章制度，也没有完善的管理层监督，是不会形成一个完善的信息技术风险管理机制的。在该案例中，相关信息技术控制没有落实到位和没能被有效地执行，很可能就是最主要的信息技术安全漏洞。

　　要改进信息技术风险管理机制，需要从解决信息技术风险管理机制中的“短板”着手，一般来说，建立和完善信息技术风险管理机制，可以参照以下几个步骤：信息技术风险评估。信息技术风险评估的目的，是评估商业银行目前面临的信息技术中的固有风险和剩余风险。信息技术风险的评估方法是通过定性和定量相结合的方法，识别出信息技术的固有风险和剩余风险，并区分出风险等级。为管理层对信息技术风险管理做必要的行动计划提供了一个基础，旨在将信息技术风险降低到管理层可接受的水平。

　　建立信息技术控制目标。根据信息技术风险评估工作的结果，针对识别出的信息技术高风险的领域，为银行量身定制出一组信息技术的控制要求或控制目标。在此基础上，将信息技术风险现状比对信息技术控制目标做一个差距分析，可以为信息技术控制设计和改进信息技术关键控制提供依据。作为建立信息技术风险管理机制的关键一步，商业银行要建立本银行信息技术的控制目标体系。COBIT对商业银行建立信息技术控制目标有很大的指导意义，是商业银行可以参照的信息技术控制目标的范例。

　　管理层的自我评估。管理层的自我评估的目标是确定必要的信息技术控制活动，批准实施信息技术控制的行动计划。管理层的自我评估工作一般可分为：审阅当前信息系统的固有风险水平和剩余风险水平；确认所需的信息技术控制，确认接受剩余风险；以及对实施信息技术控制的行动计划达成共识，推行和实施所需的控制。通过管理层的自我评估和确认剩余风险，并实施所需的控制，是建立信息技术风险管理的最重要的一环。只有管理层确实推进信息技术的控制活动，对信息技术风险评估时识别的高风险领域和问题加以控制，才能使信息技术的剩余风险维持在可接受程度。管理层的自我评估是一项需要定期开展的工作。

　　信息技术内部审计。信息技术内部审计的目的是从一个相对独立的角度，评估信息技术控制的有效性，包括银行总体层面的信息技术控制、信息技术一般性控制和应用系统的控制。在信息技术内部审计的工作中，对信息技术控制活动进行定期监控和测试是重要的一环。信息技术控制活动的监控和测试是根据信息技术控制活动发生的频率，决定样本的大小，并对抽取的样本按照设计的步骤进行测试。信息技术控制的测试，可以按照控制的设计有效性和运行有效性两个方面分别进行。按照重要性原则，银行属下的分行、支行或者分支机构，将会有选择地接受测试。任何被检测出的信息技术控制缺陷，可以被要求在规定的期限内改正和接受再测试。因此可以说，定期测试信息技术控制活动对银行的信息技术风险管理机制的落实和改进有极大的帮助，是形成银行信息技术风险管理良性循环的重要环节。