ขั้นตอนหรือวิธีปฏิบัติงานของผู้ปฏิบัติงานของบริษัทที่รับการตรวจสอบ การสัมภาษณ์/สอบถาม (inquiry) สอบถามข้อมูลจากบุคลากรของบริษัทที่รับการตรวจสอบ การสอบทาน/ตรวจสอบ (Inspection) ตรวจสอบบันทึก (record
maintenance) ผู้ประกอบธุรกิจต้องมีการบริหารจัดการโครงการด้าน IT และมีการจัดหา พัฒนา รวมถึงบำรุงรักษา ระบบ IT เพื่อให้มั่นใจว่ามีการรักษาความมั่นคงปลอดภัยตลอดวงจรชีวิตของระบบ IT (entire life cycle) ดังนี้ การ
วางแผนรองรับทรัพย์สินด้าน IT ที่ใกล้จะสิ้นสุดอายุการใช้งาน (end of life) หรือสิ้นสุดการสนับสนุนหรือให้บริการจากผู้ผลิต (end of support) ได้อย่างเหมาะสมทันการณ์ ทั้งนี้ ในกรณีที่มีความจำเป็นต้องใช้ทรัพย์สิน