商业银行应在建立良好公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。商业银行的董事会履行信息科技管理职责，同时设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实；并且应设立首席信息官，直接向行长汇报，并参与决策。另外，应设立或指派一个特定部门负责信息科技风险管理工作，并直接向首席信息官或首席风险官（风险管理委员会）报告工作。最后，应在内部审计部门设立专门的信息科技风险审计岗位。