– “CRAF”) ซึ่งเมื่อผู้ประกอบธุรกิจประเมินตนเองแล้ว จะช่วยให้ทราบความเสี่ยงด้านไซเบอร์ที่เกิดจากลักษณะการประกอบธุรกิจของตนเอง (inherent risk) และผู้ประกอบธุรกิจมีระบบงานที่ช่วยควบคุม
ที่มีความเสี่ยงสูง ผู้ประกอบธุรกิจต้องมีมาตรการเพิ่มเติม (enhance) ที่จะทำให้ติดตามตรวจสอบได้ว่าพนักงานมีการปฏิบัติไม่เป็นไปตามกฎเกณฑ์หรือไม่ และหากพบว่ามีการปฏิบัติไม่เป็นไปตามกฎ