商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，确保配置足够人力、财力资源，维持稳定、安全的信息科技环境。包括以下要素：制定全面的信息科技风险管理策略；制定持续的风险识别和评估流程，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)；依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施；建立持续的信息科技风险计量和监测机制；遵守境内外监管机构关于信息科技风险管理的要求，并防范因监管差异所造成的风险。