商業銀行應在建立良好公司治理的基礎上進行信息科技治理,形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織架構。商業銀行董事會應當履行信息科技管理職責,同時設立由高級管理層、信息科技部門和主要業務部門代表組成的專門信息科技管理委員會,監督各項職責的落實;應該設立壹名首席信息官,直接向總統報告,並參與決策。此外,應設立或指定特定部門負責信息科技風險管理,並直接向首席信息官或首席風險官(風險管理委員會)報告。最後,應在內部審計部門設立壹個專門的信息技術風險審計職位。