随着信息技术的发展,网上银行业务开展和使用越来越普及,针对网上银行信息系统的安全事件也频繁发生,监管机构逐步认识到网上银行信息科技风险管理制度不完善,缺乏系统而主动的风险识别与评价机制。因此,银监会和人民银行多次强调网上银行信息科技风险控制,并发文提出了明确要求：为实现稳健经营的业务目标,必须通过制定和实施一系列策略、制度、标准、程序和方法,建立风险事前防范、事中控制、事后监督和纠正的动态过程和机制来加强网上银行信息科技风险控制。作为被监管机构的商业银行,必须通过建立一套网上银行信息科技风险控制评价的框架和方法,以规范和加强本行网上银行内部评估和外部审计,进而完善内部控制体系,逐步形成风险管理的长效机制,保证网上银行信息系统安全运行,进一步实现由被动监管向主动适应监管的跨越。本文正是在上述背景下,研究并实现了一套可操作的面向网上银行信息系统的风险评估方法和工具。本论文的主要工作包括：通过分析国际、国内的先进的安全模型和风险评估方法,找出适合于网上银行信息系统的风险评估方法和途径；立足网上银行信息系统特点,对网上银行信息系统进行层次化分解,将系统中涉及的各种风险因素进行抽象化地描述并量化成基础指标体系矩阵：在基于银监发2006[9]号文有关网上银行评估指引的基础上,将基础指标体系转换成主指标体系并做安全子域划分；采用数学公式计算的方法将基础指标体系量化矩阵和主指标体系关联起来,实现系统风险的量化评估,同时采用专家估测法解决安全子域权重误导问题；最后,以网上银行信息系统风险评估方法为依托,为银行机构设计并开发了一套简单易用风险评估管理工具,帮助商业银行进行风险评估实践的管理和运作。本论文研究成果已在多个商业银行项目中得到应用,实践证明本论文设计的方法合理,技术方法恰当,评估工具有很强的适用性,达到了系统预期开发目标,在实际应用中产生了良好的经济效益和社会价值。