IT (system change) (1) มีการประเมินผลกระทบ และจัดลำดับความสำคัญของ การเปลี่ยนแปลง (2) มีกระบวนการขออนุมัติการเปลี่ยนแปลง (change request) โดยต้องได้รับการอนุมัติจากหน่วยงานเจ้าของระบบ (system owner
จำเป็นต้องใช้งาน (5) การแบ่งแยกบทบาทหน้าที่ของบุคคลที่เกี่ยวข้องในการจัดสรรสิทธิ เช่น ผู้ร้องขอ (access request) ผู้มีอำนาจอนุมัติ (access authorization) และผู้ดูแลสิทธิการเข้าถึง (access administration
ขั้นตอนหรือวิธีปฏิบัติงานของผู้ปฏิบัติงานของบริษัทที่รับการตรวจสอบ การสัมภาษณ์/สอบถาม (inquiry) สอบถามข้อมูลจากบุคลากรของบริษัทที่รับการตรวจสอบ การสอบทาน/ตรวจสอบ (Inspection) ตรวจสอบบันทึก (record