关于风险有很多的解释，现代汉语词典说“风险指遭受损失、伤害、不利或毁灭的可能性”，也有说“风险是生产目的与劳动成果之间的不确定性”，但总体来看都差不多，包含了两层意思，第一是预期目标与实际结果的不一致，第二是发生的不确定性/可能性。一般我们说的风险都隐含了遭受损失的意思。

　　信息安全风险，从字面上理解，就是会影响到信息安全的风险，而信息安全，虽然有很多种表达，但中心思想都是保护信息（以及信息系统）机密性、完整性、可用性（以及其它的衍生特性）。在ISO27005里，把信息安全风险定义为“某种特定的威胁利用资产或一组资产的脆弱点，导致这些资产受损或破坏的潜在可能”。结合信息安全的定义，我们可以把信息安全风险看成是“信息资产遭受损失、伤害、不利或毁灭的可能性”。

　　广泛性。信息科技风险广泛地存在于信息系统、部门、业务、员工和外部事件中。

　　易扩散性。银行服务对象复杂、分布广泛，所提供的金融服务与个人、企业利益乃至国民经济息息相关，一旦发生重大信息科技事件，会引起一系列的连锁反应，对银行声誉造成较大的负面影响。

　　复杂性。引发信息科技风险的因素复杂，如系统的升级改造、生产运维、制度流程、人员操作、自然灾害、突发事件等，使科技风险更趋隐蔽性和复杂性米乐M6网页版登录入口。

　　隐蔽性。在特定外部环境下安全隐患容易被忽视，但会随着环境变化逐步暴露出来。例如，系统中的漏洞在某种特定条件下被不法分子利用，或内部操作、管理流程漏洞被内部人员利用等。

　　变化性。随着信息技术水平的不断提高以及业务创新的不断深化，信息科技风险的表现形式也在不断发生变化。

　　损失难以准确计量。信息科技风险产生的损失包括直接财务损失和间接损失，但目前仅用直接损失金额计量，远远低估了信息科技风险给银行带来的影响。

　　银行业信息科技风险管理的“三道防线”建设，体现了科技、风险管理、审计三个部门之间相对独立、有效分工、适当交叉、合理覆盖、多级监督、信息共享、协同开展的信息科技风险管控工作机制。

　　第一道防线是指信息科技治理，由科技部门承担信息科技风险的直接管理责任，以风险控制的视角开展事前控制目标和预警指标制定、事中流程技术控制、应急处置、事后全面分析，以及现场或非现场的检查等工作。

　　第二道防线是指信息科技风险管理，由风险管理部门和内控合规管理部门负责。风险管理部门将信息科技风险纳入全面风险管理体系，建立信息科技风险的控制标准和分类分级标准，对信息科技风险评估、监测、报告和计量。内控合规管理部门对信息科技制度建设、内部控制、合规管理及尽职监督检查和评价。

　　第三道防线是指信息科技审计，审计部门按监管要求和风险状况，以独立的第三方立场开展信息科技审计，检查评估科技部门风险管理、内部控制的充分性和有效性，促进科技部门完善风控和内控机制。