判断题 商业银行应确定潜在风险区域，并对这些区域进行详细和独立的监控，实现风险最小化。建立适当的控制框架，以便于检查和平衡风险；定义每个业务级别的控制内容，包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权以“必需知道”和“最小授权”为原则、审批和授权、验证和调节。

判断题 各银行业金融机构要高度重视和支持信息安全管理工作，法定代表人要对本机构信息安全管理负总责。

判断题 对于因信息安全管理工作不到位或失职，导致本机构发生重大信息安全事件；迟报、漏报、瞒报信息安全事件，或对信息安全事件处理措施不到位；不遵守有关信息安全规章制度，不执行上级部门及监管部门的信息安全管理要求等情形，中国人民银行及其派出机构根据信息系统安全保障承诺书追究银行业金融机构信息安全管理责任人责任。