กระบวนการบริหารจัดการ IT Risk โดยมีรายละเอียดอย่างน้อย ดังนี้ (1) การระบุความเสี่ยง (risk identification) (2) การวิเคราะห์ความเสี่ยง (risk analysis) (3) การประเมินค่าความเสี่ยง (risk evaluation) (4) การจัดการ

(IT operation) และงานด้านพัฒนาระบบ IT (IT development) สอดคล้องตามหลักการถ่วงดุล (check and balance) ที่ดี (2) เป็นผู้ที่มีความรู้ความสามารถหรือมีประสบการณ์ด้าน IT และด้านการบริหารจัดการความมั่นคง

บริษัทแม่/บริษัทร่วม (2) บุคลากรด้าน IT หมายถึง บุคลากรที่ทำงานประจำซึ่งได้รับค่าจ้างและสวัสดิการจากบริษัทท่านเท่านั้น และเป็นผู้รับผิดชอบงานเกี่ยวกับ IT เช่น IT risk/ IT operation/ IT governance