ควรสอดคล้องกับการบริหารและจัดการความเสี่ยงขององค์กร (enterprise risk management) (ถ้ามี) 3. การประเมินความเสี่ยง (risk assessment) ควรมีการประเมินความเสี่ยงอย่างน้อยปีละ 1 ครั้ง และเมื่อมีการเปลี่ยนแปลง

เสี่ยงขององค์กร (enterprise risk) (ถ้ามี) ซึ่งอย่างน้อยต้องครอบคลุมในเรื่องดังนี้ 1.1 การกำหนดกรอบการกำกับดูแลด้าน IT (IT governance framework) และการกำกับดูแลแผนงานด้าน IT ให้สอดคล้องกับแผนทางธุรกิจ และมี