ลับ โดยครอบคลุมข้อมูลดังนี้ 4.2.1 ข้อมูลที่อยู่บนอุปกรณ์ที่ใช้ปฏิบัติงาน (data at endpoint) 4.2.2 ข้อมูลที่อยู่ระหว่างการรับส่งผ่านเครือข่าย (data in transit) 4.2.3 ข้อมูลที่อยู่บนระบบงานและสื่อบันทึก

party/vendor locked-in) ซึ่งทำให้มีข้อจำกัด ในการเปลี่ยนแปลงเทคโนโลยี ผู้ให้บริการ หรือข้อจำกัดในการนำระบบหรือข้อมูลกลับมาดำเนินการเอง (5) ความเสี่ยงด้าน IT และภัยทางไซเบอร์ เช่น ระบบที่ให้บริการโดยบุคคล