ธุรกิจควรจัดให้มีแผนรองรับในกรณีที่บุคคลภายนอกเกิดเหตุการณ์ผิดปกติด้าน IT (incident response plan) ซึ่งมีผลกระทบกับการดำเนินการของผู้ประกอบธุรกิจ โดยครอบคลุมเหตุการณ์ที่เกี่ยวข้องกับเหตุการณ์ความปลอดภัยทาง
) และความคืบหน้าในการดำเนินการแก้ไขข้อบกพร่อง โดยหน่วยงานที่ทำหน้าที่ตรวจสอบด้าน IT หรือหน่วยงานที่เกี่ยวข้อง (4) ผลการปฏิบัติงานด้าน IT ที่สำคัญ เช่น (ก) เหตุการณ์ผิดปกติ หรือปัญหาด้าน IT ที่สำคัญ (ข
ครอบคลุมการดำเนินการอย่างน้อย ดังนี้ (ก) กำหนดผู้รับผิดชอบต่อความเสี่ยง หรือเจ้าของความเสี่ยง (risk owner) (ข) ระบุการควบคุมที่มีอยู่ในปัจจุบัน (existing control) (ค) วิเคราะห์โอกาสหรือความถี่ที่จะเกิด