– “CRAF”) ซึ่งเมื่อผู้ประกอบธุรกิจประเมินตนเองแล้ว จะช่วยให้ทราบความเสี่ยงด้านไซเบอร์ที่เกิดจากลักษณะการประกอบธุรกิจของตนเอง (inherent risk) และผู้ประกอบธุรกิจมีระบบงานที่ช่วยควบคุม
acquisition, development and maintenance) 2.11 การใช้บริการระบบสารสนเทศจากผู้รับดำเนินการ (IT outsourcing)