IT ควรมีรายละเอียด ดังนี้ 1. เกณฑ์ความเสี่ยง (risk criteria) ควรครอบคลุมถึงโอกาสหรือความถี่ที่จะเกิดเหตุการณ์ความเสี่ยง และความมีนัยสำคัญหรือผลกระทบที่จะเกิดขึ้นเพื่อจัดลำดับความสำคัญในการบริหารจัดการ

(requirement) และคุณสมบัติทางเทคนิค (technical specification) ของระบบ ที่พัฒนา ดังนี้ (1.1) ความมั่นคงปลอดภัย (security) (1.2) สภาพพร้อมใช้งาน (availability) (1.3) ขีดความสามารถที่รองรับ (capacity) (2) มีการแบ่ง

โดยการควบคุมที่ใช้ในการตรวจสอบอ้างอิงตามประกาศสำนักงาน ก.ล.ต. ที่ สธ. 38/2565 และแนวปฏิบัติที่ นป. 7/2565 หัวข้อ หน้า 1. โครงสร้างของแบบรายงาน 2 2. หลักเกณฑ์ที่ใช้ในการตรวจสอบ ( Audit criteria) 3 3