– “CRAF”) ซึ่งเมื่อผู้ประกอบธุรกิจประเมินตนเองแล้ว จะช่วยให้ทราบความเสี่ยงด้านไซเบอร์ที่เกิดจากลักษณะการประกอบธุรกิจของตนเอง (inherent risk) และผู้ประกอบธุรกิจมีระบบงานที่ช่วยควบคุม
ต้องมีมาตรการในการควบคุมดูแลให้เจ้าหน้าที่ปฏิบัติการปฏิบัติตามหน้าที่และข้อผูกพันที่ผู้ให้บริการออกใบรับรองกำหนดในแนวนโยบาย (Certificate Policy: CP) และแนวปฏิบัติ (Certificate
ข้อผูกพันที่ผู้ให้บริการออกใบรับรองกำหนดในแนวนโยบาย (Certificate Policy: CP) และแนวปฏิบัติ (Certificate Practice Statement: CPS) ของผู้ให้บริการออกใบรับรองอย่างเคร่งครัด
(Certificate Policy: CP) และแนวปฏิบัติ (Certificate Practice Statement: CPS) ของผู้ให้บริการออกใบรับรองอย่างเคร่งครัด หมวด 2