A . A．用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制，并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度；
B . B．用户调动到新的工作岗位或离开商业银行时，应在系统中及时检查、更新或注销用户身份；
C . C．定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。
D . D．定期进行信息科技外包项目的风险状况评价。
E . E．建立内部审计、外部审计和监管发现问题的整改处理机制。