当今，网络与信息技术已经与每个人的生活密不可分;然而，人们在享受便捷、高效服务的同时，也深深的被信息安全问题所困扰;信息泄漏、木马病毒、网上诈骗等信息安全事件频发。由于网络的负外部性，使得信息安全事件一旦发生，波及的范围广泛，不仅给人们带来巨大的经济损失，也给社会带来不安定的因素。商业银行是国家经济中的重要参与者，不仅为其客户提供金融服务，也肩负着落实国家货币和经济政策的重任;因此，保障商业银行的安全运营，不仅是银行实现自身利润的基础，更具有维持国家经济和社会稳定的战略意义。　　由于信息安全具有风险的核心要素和特点，在《巴塞尔新资本协议》中将信息安全归为商业银行的操作风险;因此，信息安全管理工作应该借助成熟的风险识别与评估方法。信息安全管理体系(ISMS)是国际通用标准族，为企业提供了信息安全的管理框架和操作指南，是商业银行构建和运行信息安全管理体系的首选参考依据。　　本文通过文献与实证研究等方法，分析了我国信息安全的特点及原因，通过比对国内外信息安全相关的理论模型，论证了风险评估方法与ISMS在商业银行信息安全管理中应用的必要性，提出商业银行信息安全风险管理体系的建设与运行，需要将两种方法、理论结合起来，才会更加有效。最后，通过A银行的实践过程，验证了风险评估方法与ISMS结合的适用性;同时，总结了A银行在信息安全风险评估与体系建设的实施方法和步骤，从而丰富了商业银行信息安全风险管理的实践案例，为其他银行与金融机构提供参考和借鉴。