ครอบคลุม 2.2.1 นโยบายการบริหารจัดการความเสี่ยงด้าน IT (IT risk management policy) (1) บทบาทหน้าที่ของผู้ที่เกี่ยวข้องในการบริหารจัดการ ความเสี่ยงด้าน IT (2) การจัดให้มีกระบวนการบริหารจัดการความเสี่ยงด้าน IT

บุคคลภายนอก ข้อ 2.2 บุคคลภายนอก 2.2 ส่วนที่ 5 การควบคุมการเข้าถึงข้อมูลและระบบ IT (access control) ข้อ 5.3 กำหนดมาตรการควบคุม จำกัด และติดตามการใช้งานบัญชี privileged user (privileged user management) 2.3

. 8.10 การทดสอบ การ เจาะระบบ ( penetration test) 45 2. 8.11 การบริหารจัดการโปรแกรมแก้ไขช่องโหว่ ( patch management) 47 2. 9 การรักษาความมั่นคงปลอดภัยเกี่ยวกับระบบเครือข่ายสื่อสาร ( communication system