第十六条

第十七条  商业银行应依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。防范措施应包括：

（一） 制定明确的信息科技风险管理制度、技术标准和操作规程等，定期进行更新和公示。

（二） 确定潜在风险区域，并对这些区域进行详细和独立的监控，实现风险最小化。建立适当的控制框架，以便于检查和平衡风险；定义每个业务级别的控制内容，包括：

1. 最高权限用户的审查。

2. 控制对数据和系统的物理和逻辑访问。

3. 访问授权以“必需知道”和“最小授权”为原则。

4. 审批和授权。

5. 验证和调节。

第十八条  商业银行应建立持续的信息科技风险计量和监测机制，其中应包括：

（一） 建立信息科技项目实施前及实施后的评价机制。

（二） 建立定期检查系统性能的程序和标准。

（三） 建立信息科技服务投诉和事故处理的报告机制。

（四） 建立内部审计、外部审计和监管发现问题的整改处理机制。

（五） 安排供应商和业务部门对服务水平协议的完成情况进行定期审查。

（六） 定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。

（七） 定期进行运行环境下操作风险和管理控制的检查。

（八） 定期进行信息科技外包项目的风险状况评价。

第十九条  中资商业银行在境外设立的机构及境内的外资商业银行，应当遵守境内外监管机构关于信息科技风险管理的要求，并防范因监管差异所造成的风险。

第四章  信息安全

第二十条   商业银行信息科技部门负责建立和实施信息分类和保护体系，商业银行应使所有员工都了解信息安全的重要性，并组织提供必要的培训，让员工充分了解其职责范围内的信息保护流程。

第二十一条  商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，就安全问题向其他部门提供建议，并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。

信息安全策略应涉及以下领域：

（一） 安全制度管理。

（二） 信息安全组织管理。

（三） 资产管理。

（四） 人员安全管理。

（五） 物理与环境安全管理。

（六） 通信与运营管理。

（七） 访问控制管理。

（八） 系统开发与维护管理。

（九） 信息安全事故管理。

（十） 业务连续性管理。

（十一） 合规性管理。