บริหารจัดการด้าน IT (เช่น IT steering committee หรือคณะกรรมการที่ได้รับ มอบหมาย เป็นต้น) เพื่อดูแลให้มีการใช้งาน IT ที่สอดคล้องกับกลยุทธ์ของผู้ประกอบธุรกิจ (ข) คณะกรรมการกำกับดูแลการบริหารความเสี่ยงด้าน IT
ครอบคลุมการดำเนินการอย่างน้อย ดังนี้ (ก) กำหนดผู้รับผิดชอบต่อความเสี่ยง หรือเจ้าของความเสี่ยง (risk owner) (ข) ระบุการควบคุมที่มีอยู่ในปัจจุบัน (existing control) (ค) วิเคราะห์โอกาสหรือความถี่ที่จะเกิด