ครอบคลุมการดำเนินการอย่างน้อย ดังนี้ (ก) กำหนดผู้รับผิดชอบต่อความเสี่ยง หรือเจ้าของความเสี่ยง (risk owner) (ข) ระบุการควบคุมที่มีอยู่ในปัจจุบัน (existing control) (ค) วิเคราะห์โอกาสหรือความถี่ที่จะเกิด
(IT operation) และงานด้านพัฒนาระบบ IT (IT development) สอดคล้องตามหลักการถ่วงดุล (check and balance) ที่ดี (2) เป็นผู้ที่มีความรู้ความสามารถหรือมีประสบการณ์ด้าน IT และด้านการบริหารจัดการความมั่นคง