ทบที่จะเกิดขึ้น (potential impact) จากเหตุการณ์ดังกล่าว (3) การประเมินค่าความเสี่ยง (risk evaluation) จัดให้มีประเมินค่าความเสี่ยงด้าน IT เพื่อจัดลำดับในการบริหารความเสี่ยงอย่างเหมาะสม โดยครอบคลุม การ

ลับ โดยครอบคลุมข้อมูลดังนี้ 4.2.1 ข้อมูลที่อยู่บนอุปกรณ์ที่ใช้ปฏิบัติงาน (data at endpoint) 4.2.2 ข้อมูลที่อยู่ระหว่างการรับส่งผ่านเครือข่าย (data in transit) 4.2.3 ข้อมูลที่อยู่บนระบบงานและสื่อบันทึก