– “CRAF”) ซึ่งเมื่อผู้ประกอบธุรกิจประเมินตนเองแล้ว จะช่วยให้ทราบความเสี่ยงด้านไซเบอร์ที่เกิดจากลักษณะการประกอบธุรกิจของตนเอง (inherent risk) และผู้ประกอบธุรกิจมีระบบงานที่ช่วยควบคุม
กล่าวในข้อ 2.1 - โครงสร้างการบังคับบัญชาและการรายงาน (functional structure)ที่เป็นลักษณะ matrix management -คู่มือต่าง ๆ เช่น คู่มือนโยบายบริหาร (policy manual) ซึ่งใช้สำหรับในกลุ่มธุรกิจการ