立持续的信息科技风险计量和监测机制，其中应包括：
一建立信息科技项目实施前及实施后的评价机制。二建立定期检查系统性能的程序和标准。三建立信息科技服务投诉和事故处理的报告机制。四建立内部审计、外部审计和监管发现问题的整改处理机制。五安排供应商和业务部门对服务水平协议的完成情况进行定期审查。六定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。七定期进行运行环境下操作风险和管理控制的检查。八定期进行信息科技外包项目的风险状况评价。
第四章信息安全第十五条科技部负责建立和实施信息分类和保护体系，应使所有员工都了解信息安全的重要性，并组织提供必要的培训，让员工充分了解其职责范围内的信息保护流程。第十六条科技部应落实信息安全管理职能。该职能应包括建
f立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，就安全问题向其他部门提供建议，并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。信息安全策略应涉及以下领域：
一安全制度管理。二信息安全组织管理。三资产管理。四人员安全管理。五物理与环境安全管理。六通信与运营管理。七访问控制管理。八系统开发与维护管理。九信息安全事故管理。十业务连续性管理。十一合规性管理。第十七条应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制，并且确保其在信息系统内的活动只限于相关业务能合法开展
f所要求的最低限度。用户调动到新的工作岗位或离开我司时，应在系统中及时检查、更新或注销用户身份。
第十八条应确保设立物理安全保护区域，包括计算机中心或数据中心、存储机密信息或放置网络设备等重要信息科技设备的区域，明确相应的职责，采取必要的预防、检测和恢复控制措施。
第十九条应根据信息安全级别，将网络划分为不同的逻辑安全域（以下简称为域）。应该对下列安全因素进行评估，并根据安全级别定义和评估结果实施有效的安全控制，如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
一域内应用程序和用户组的重要程度。二各种通讯渠道进入域的访问点。三域内配置的网络设备和应用程序使用的网络协议和端口。四性能要求或标准。五域的性质，r